- 博客(8)
- 收藏
- 关注
RSS订阅原创 生产实习--启明星辰 第五天(SQL注入实战)
由于对用户的输入没做严格的过滤和限制,攻击者通过在Web应用的输入字段中插入恶意SQL代码,从而影响数据库的操作。(我们知道web网站分为前端和后端,前端会像后端提供用户所需要的请求,而后端则需要根据前端所提供的请求做出响应,传递资源,这个资源就可能是sql数据库,因为没有严格的过滤,就给了黑客机会去对我们的sql语句(即对数据库的操作)进行修改,拼接,从而获取数据库中的信息,并进行一系列的操作)
2024-07-10 16:51:29
856
原创 生产实习--启明星辰 第四天(实操关于CC攻击以及查看摄像头)
原理:CC(ChallengeCollapsar,挑战黑洞)攻击是DDoS攻击的一种类型,使用代理服务器向受害服务器发送 大量貌似合法的请求。环境:Kali Linux,siege工具具体步骤:首先,我们打开虚拟机kali linux,打开命令行,输入apt install siege下载我们所需要的工具。之后利用命令 :siege -c 并发数目 -r 测试次数 目标网站 进行攻击,下面我以https://22k4.com/ 为例子来实现。
2024-07-09 19:54:09
644
原创 生产实习--启明星辰 第四天(Web网络安全基础知识,sql注入,xss攻击,csrf与ssrf,xxe攻击,未授权漏洞,漏洞,常见中间件攻击,文件包含,流量特征)
CSRF漏洞攻击原理:客户端请求伪造,在我看来,假如我是黑客,我想访问网站A,但是这个网站A要付费,我没钱呀,我就找到一个人他要访问两个网站分别是A网站和B网站,我就黑了网站B,在他同时访问这两个网站时,我就偷偷发送一个有危害的请求,来获取A网站的cookie从而用他的账号密码来访问这个A网站。SSRF跨站请求伪造:服务端请求伪造,在我看来,就是操作服务器骗取客户端数据信息。外部实体注入,是一种利用XML解析器处理XML文档时的安全漏洞进行的攻击。
2024-07-09 19:47:34
1519
原创 生产实习--启明星辰 第三天(文件漏洞的实战,靶场和phpstudy环境的配置)
文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,从而导致的用户可以越 过其本身权限向服务器上传可执行的动态脚本文件。如常见的头像上传,图片上传,oa 办公文件上传,媒体上传,允许 用户上传文件,如果过滤不严格,恶意用户利用文件上传漏洞,上传 有害的可以执行脚本文件到服务器中, 可以获取服务器的权限,或进⼀步危害服务器;
2024-07-08 17:43:59
1389
1
原创 生产实习--启明星辰 第二天 (基本概念、burp suite配置安装与后续的知识安排)
以下我自己的看法:钓鱼攻击:伪装成合法的实体来窃取信息恶意软件:通过软件来窃取信息拒绝服务攻击(ddos):发送大量的请求耗尽系统资源密码破解:暴力或字典破解密码中间攻击:插在通信过程中,监听窃取信息sql注入:通过将恶意的SQL语句插入到应用程序的输入字段中,从而获得对数据库的非法访问零日(0day)漏洞攻击:利用尚未被先修复的软件漏洞社交工程:利用人类心理弱点进行欺骗、操纵或诈骗的技术,以便获取信息。
2024-07-07 20:20:06
1135
原创 burp suite的安装与配置
首先,下载安装包,解压后打开链接:https://pan.baidu.com/s/1xdfJslSuE_FXjjJhdlIvyw提取码:tttt同时运行上面两个文件。对于第一个文件我们复制license内容,粘贴到burp suite中,之后点击之后将burp suite的request复制,之后粘贴到第一个程序对应的request中,之后将第一个程序产生的response复制,粘贴到burp suite对应的response中。之后一直点击next即可这样就完成安装了。
2024-07-07 18:36:12
297
原创 生产实习--启明星辰 第一天(Java和Python的环境配置)
Python环境要求:3.10版本及以下(这里用到3.9.0)。首先要查看自己电脑上的python版本:打开cmd,输入python,便可以查看自己电脑中的python的版本信息,看看是否适合。如果没有反应或发生了跳转,那么就是你没下载python或者是没有为python设置环境变量。若问题为后者,可以参考一下这篇文章。PYTHON|【安装问题】python环境变量设置以及在 cmd 输入 python 后不报错也无反应的问题_python --version没反应-优快云博客选择。
2024-07-06 14:00:54
494
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人