WEB安全扫盲公开课---学习笔记(一)

最新推荐文章于 2023-03-31 11:08:48 发布
原创 最新推荐文章于 2023-03-31 11:08:48 发布 · 1.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

观看链接https://www.bugbank.cn/live/websm?tdsourcetag=s_pcqq_aiomsg

第1讲

http常见的请求方法:GET  POST  PUT  COPY  DELETE   OPTIONS
http状态码
web安全五层模型

第2讲

网络拓扑图

第3讲

phpstudy

python

第4 讲

OWASP TOP 10

http://www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf

UNION sql注入

常用十大sql报错函数

SQL盲注

二次注入

第5讲(复习)

第6讲

xss存储型

xss反射型

第7讲

DOM XSS

Location对象

jsonP

Crossdomainxml

关于xss的几个小技巧(payload)

CSRF(跨站请求伪造)

1.验证码

2.验证Refer

3.Token

4.设置跨域权限

第8讲(SSRF)

该漏洞的危害

经常出现在哪里

安全狗

第9讲(远程代码执行)

示例函数array_udiff_uasssoc()

assert()

总结:开发过程尽量不要使用危险函数

第10讲:上传漏洞

文件上传

第11讲(简单查询)

MySQL学习

SQL语法(菜鸟教程)


去重查询:SELECT DISTINCT 字段名(可以有多个) from XXXX

备注:乱码问题,,SET NAMES GBK,因为cmd命令行字符编码的问题。

第12讲(高级查询)

ORDER BY  字段名    ASC(默认)   DESC

LIMIT   limit a(取a条)   limit a,b(从第a条开始取b条)

INSERT

UPDATE

DELETE

第13讲(JOIN查询)

UNION

第14讲(SQL常用函数)

函数名(函数参数)

# MD5('string')  返回经过MD%加密后的字符串

第15讲(渗透测试流程之信息收集)

端口

服务

主域名:test.com

子域名:abc.test.com    aa.test.com

nmap信息收集

WHOIS  nslookup  whatweb

目标:http://www.dzsyxx.com/德州市实验小学    信息收集

第一步:记录网址...

第二步:地址∶山东省德州市德城区东方红西路876号 邮编:253000  网站维护:信息中心   Email:lhx-dz@163.com
德州市实验小学 版权所有 © 2000 - 2019 鲁ICP备12007957号    鲁公网安备 37140202000506号

第三步:whatweb www.dzsyxx.com   或者firefox f12

http://www.dzsyxx.com/ [200 OK] Country[HONG KONG][HK], Email[lhx-dz@163.com,sddzyuli@163.com], HTTPServer[Microsoft-IIS/7.5], IP[39.107.110.165], JQuery, Microsoft-IIS[7.5], Script[text/javascript], Title[网站首页-德州市实验小学], X-Powered-By[ASP.NET]

第四步:/phpinfo.php

第五步:whois dzsyxx.com

Registrars.
Domain Name: dzsyxx.com
Registry Domain ID: 105178147_DOMAIN_COM-VRSN
Registrar WHOIS Server: grs-whois.hichina.com
Registrar URL: http://whois.aliyun.com
Updated Date: 2019-04-03T07:53:00Z
Creation Date: 2003-10-17T03:38:29Z
Registrar Registration Expiration Date: 2019-10-17T03:38:29Z
Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.
Registrar IANA ID: 420
Reseller:
Domain Status: ok https://icann.org/epp#ok
Registrant City: 
Registrant State/Province: Shan Dong
Registry Registrant ID: Not Available From Registry
Name Server: DNS7.HICHINA.COM
Name Server: DNS8.HICHINA.COM
DNSSEC: unsigned
Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com
Registrar Abuse Contact Phone: +86.95187

第六步:nslookup www.dzsyxx.com

Server:        192.168.96.2
Address:    192.168.96.2#53

Non-authoritative answer:
Name:    www.dzsyxx.com
Address: 39.107.110.165

第七步:  nmap 39.107.110.165      -->rdesktop 39.107.110.165(查看操作系统)  --->nmap 39.107.110.165 --script=vuln

PORT     STATE SERVICE
21/tcp   open  ftp
80/tcp   open  http
443/tcp  open  https
902/tcp  open  iss-realsecure
912/tcp  open  apex-mesh
1433/tcp open  ms-sql-s
3389/tcp open  ms-wbt-server

第八步:子域名爆破http://z.zcjun.com/      输入  dzsyxx.com

怎么看CDN,有CDN怎么查看真实IP(traceroute)

扫盲系列--Web3智能合约+Solidity简介
CTZL123456的博客
06-12 2174
这几天web3智能合约这个概念,频繁映入我的眼帘。web3.0这个概念我听说过,核心特征是去中心化、开放性、隐私保护和数据所有权回归个人。Web 1.0是信息浏览时代,Web 2.0是用户参与和社交网络时代,Web 3.0是去中心化与智能化时代。在Web3.0这新的互联网架构下,用户不再仅仅是内容的消费者,更是自己数字身份和数据的拥有者。Web 3.0旨在构建个更加透明、安全且高效的信息网络。我对Web3.0的了解是些比较宽泛的东西,这次想比较详细的了解web3中的智能合约。智能合约。
Web安全实践复习V2.0.pdf
01-17
中科大软院web安全实践课程复习资料 根据郭老师知乎和网课以及面向csdn总结的知识点 仅供参考
WEB安全扫盲公开课---学习笔记()
舞指如歌~的博客
09-06 208
第16讲 0x01.AWVS简介、简单扫描—HTTP Editor模块介绍 AWVS通过网络爬虫来测试网站安全 0x02.AWVS的web服务器发现 0x03.AWVS爬虫模块的使用 0x04.AWVS-FUZZ模块的使用 主要用于爆破,目录的扫描 0x05.AWVS-Http Sniffer模块的使用 0x06.AWVS subdomain scanner的使用 详细教程h...
【网络安全】计算机网络安全公开课笔记整理(三)
03-09 210
第三集 公开密钥密码学 引入:传统的对称加密,是基于密钥的,密钥旦公开,就毫无安全可言了。 问题:上讲讲过是密钥分配问题和数字签名问题。 解决:公钥加密算法【使用两个密钥。不对称:加密密钥不能解密。利用的是数论的理论】 PS:对称加密和不对称加密是相互补充,而不是替代,因为对称加密代价较高,慢。 、起源 斯坦福大学教授Diffie和Hellman提出。他们给出体系的同时...
Web安全复习资料
姜守威的博客
06-15 1024
黑客: 源自英文hacker,曾指热心于计算机技术、水平高超的计算机专家,尤其是程序设计人员.现在逐渐区分为白帽子、灰帽子、黑帽子等。白客(白帽子)是正面的黑客。白客检测到系统漏洞后,不会恶意利用漏洞、窃取系统数据,而是公布漏洞,提醒网站管理员及时修复,防止网站系统被其他人(如黑帽子)攻击。 灰客(灰帽子)与白帽子相似。灰客擅长攻击技术,精通攻击与防御,但不轻易造成破坏。通常灰客将黑客行为作为种业余爱好来做,希望通过黑客行为来警告系统管理员网络或系统存在漏洞,以达到警示别人的目的。 与白帽子相对的就是黑帽
web安全问题备忘录
weixin_30739595的博客
11-23 107
1.安全测试工具Burp Suite使用方法 1.1 在官网下载社区版本并安装 1.2 其中些简单的使用方法 设置代理的端口,8088 2.浏览器代理设置 3.在浏览器中启用代理设置,选择127.0.0.1:8088 打开拦截开关 这样,当浏览器访问的时候,就会被Burp Suite捕获了。 可以修改Params并选择...
oracle扫盲--创建和管理表PPT课件.ppt
11-23
Oracle扫盲--创建和管理表PPT课件 本资源主要讲述Oracle数据库管理系统的基本知识,包括创建和管理表的方法、数据类型、CREATE TABLE语句、数据字典等。 知识点1:数据类型 Oracle数据库中有多种数据类型,...
《零基础学习软件测试》视频教程-扫盲
07-23
资源名称:《零基础学习软件测试》视频教程-扫盲篇资源目录:【】《零基础学习软件测试》之软件测试知识扫盲篇_1【】《零基础学习软件测试》之软件测试知识扫盲篇_2【】《零基础学习软件测试》之软件测试知识扫盲篇_...
区块链扫盲-起源-应用及技术.pptx
最新发布
07-25
它是种具有广泛应用前景的底层技术,通过其去中心化、不可篡改、透明可信的特性,正在引领着信息、资产、权力等多维度的管理变革,朝着建立个更加开放、安全、高效的世界前进。区块链技术的发展和应用,正在推动...
c语言木马源代码教程--(扫盲-进阶-深度剖析).doc
05-25
在信息技术领域,尤其在网络安全方面,木马(Trojan horse)是种常见的恶意软件,其设计目的是潜伏在用户的计算机系统中,秘密执行未经授权的操作,例如盗取信息、控制用户计算机等。由于木马具有较强的隐蔽性和...
Web全栈架构师系列公开课教程
weixin_33800463的博客
05-25 251
目录* _+ Q1 J-~0 [7 P- Z├─web全栈试听课:vue源码解读 (九期Web全栈正式课).flv├─【Web全栈架构师】Koa2源码解读4 L' F. u9 t; x6 B│├─Koa2源码实现 - 讲义.pdf│├─Koa2源码解读.flv│├─node-test.zip├─【Web全栈架构师】React16虚拟dom原理剖析1 ?; m6 [$ k4 H! J2...
Web安全技术】期末复习知识点整理
gardenia的博客
03-13 1279
web安全技术期末复习
WEB3.0 扫盲
富贵的博客
05-31 3192
随着Web 3.0的发展和区块链等技术的成熟,互联网将发生变化,商业也将随之发展。Web 3.0(也称为Web3)提供了更好的安全性,并将透明度和责任置于首位。 随着从静态Web 1.0向交互式和动态Web 2.0的过渡,企业能够通过进入全球市场而增长和创新。然而,为了了解互联网在Web 3.0中的发展方向,重要的是了解它是如何发展到今天的水平的。 web历史记录 蒂姆·伯纳斯·李(TimBerners-Lee)于1990年建立了第web服务器,并创建了万维网。当时,互联网社区仅限于政府和军事研究人员以
Web公开课】利用数据可视化-让死板的数据会跳舞
qq_38914065的博客
05-24 400
课程介绍 随着商业及其相关需求的发展,数据成为越来越重要的元素之!当今的我们都深处信息的海洋之中,流行行业每天产生数据都是千万级别,我们要掌握这堆数据所包含的意义,那就要用到数据可视化。数据可视化是种能够把海量数据,通过图形化方式传递出来,让用户更加快速精准的理解数据所要呈现的内容。掌握数据可视化相关技能,是我们前端开发人员所必备的,特开设本次免费公开课!欢迎大家报名来约! 学习
Web网络安全知识扫盲
luqi5的博客
01-22 281
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 Web网络安全基础知识扫盲 提示:以下是本篇文章正文内容 、pandas是什么? 示例:pandas 是基于NumPy 的种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as pl
web前端公开课视频
weixin_30634661的博客
12-29 137
1.http://i.youku.com/u/UMzQyOTE1MzE4OA==?spm=a2h0k.8191405.0.0&qq-pf-to=pcqq.c2c 转载于:https://www.cnblogs.com/yangchunlong/p/8143959.html
Web安全知识
RheaWang的博客
07-25 1276
1. CRSF(跨站脚本伪造) 主要过程就是,用户登录A网站,通过验证产生cookie,在未登出A网站的情况下去访问危险,B网站,发出条恶意的请求,浏览器发起会话的过程中发送本地保存的cookie到网站A,导致用户信息被盗用。 防范措施: 验证码:应用程序和用户进行交互过程中,特别是账户交易这种核心步骤,强制用户输入验证码,才能完成最终请求 ; Referer Che
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 3844
做渗透测试的个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
web前端开发扫盲 - 转载系列3
jasonxia_12的专栏
04-08 1204
前端开发知识扫盲系列 - 3
深入解析MHEG-5标准及其发展历程
- **mheg_106_consultation.pdf**:该文件名中“106”可能指的是MHEG某个具体版本或草案,而“consultation”表明这可能是份公开咨询文档,用来收集反馈或意见。 - **mheg_profile_106.pdf**:“profile”通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值