安全测试
关注
分享
扫一扫
文章平均质量分 90
安全测试随笔
次次次不吃饼干_
blogs.boycechen博客cn
展开
-
【安全】【测试思路】文件上传下载之绕过上传时内容校验的DDE注入攻击
【安全】【测试思路】文件上传下载之基于bypass的DDE注入攻击DDE注入介绍测试流程图测试思路服务器搭建攻击脚本参考上传文件准备DDE注入介绍 DDE(Dynamic Data Exchange,动态数据交换)是应用之间传输数据的一种方法。Excel可以使用这种机制,根据外部应用的处理结果来更新单元格的内容。因此,如果我们制作包含(恶意)DDE公式的xlsx/csv文件,那么在打开该文件时,Excel就会尝试执行外部应用,以达到攻击的目的。测试流程图测试思路服务器搭建 在这里,咱们可以使原创 2020-07-28 23:54:45 · 1739 阅读 · 0 评论 -
【安全】【渗透测试】在Linux系统上制作高压缩比的“zip炸弹“
测试背景在一些支持上传压缩文件的系统中。文件制作进入Linux系统终端,输入如下命令。其中:if=源文件名,如果没有文件内容要求,可指定系统0源文件,制作好的文件内容也会是0。count=blocks,仅拷贝blocks个数据块,块大小取决于bs或ibs指定的字节数。bs=bytes,同时设置输入/输出的数据块大小是bytes个字节。of=输出文件名,自己任取。dd if=/dev/zero count=$((1024\*1024)) bs=4096 of=/home/bombfi原创 2020-07-25 12:44:33 · 2301 阅读 · 2 评论 -
【安全】【测试工具搭建】Ubuntu中基于DVWA程序搭建个人安全测试环境
Damn Vulnerable Web App (DVWA) 是基于的PHP/MySQL渗透测试Web应用程序。其主要目标是协助安全专业人员在合法环境下测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序的过程,并帮助教师/学生在课堂中教授/学习Web应用程序的安全性。原创 2020-06-07 17:10:50 · 522 阅读 · 0 评论 -
【安全】【测试思路】基于Burpsuite工具中的intruder执行暴力破解
基于Burpsuite工具中的intruder执行暴力破解测试工具序号工具版本备注1JDK环境1.7及以上burpsuite工具运行所需2Burpsuite1.4及以上请根据个人情况,选择Community或Professional版本常规暴力破解 对于一般或中小型项目软件来说,用户进行登录操作时,发送的鉴权请求可能只有一条,即:以用户账号、...原创 2020-04-19 00:00:54 · 896 阅读 · 0 评论 -
【安全】【测试思路】CSRF攻击-测试思路总结
CSRF攻击-测试思路总结CSRF介绍CSRF介绍CSRF(Cross Site Request Foregy),中文名称之为跨站请求伪造。其攻击的原理是:利用他人的身份信息,通过第三方网站,向被攻击网站发送非法请求,...原创 2020-04-05 23:17:14 · 767 阅读 · 0 评论