web安全
关注
分享
扫一扫
文章平均质量分 85
seeicb
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
mysql渗透提权知识
title: mysql渗透提权知识date: 2018-06-30 21:55:07categories: 安全tags: MySQL一、MySQL默认库表介绍mysql安装后会默认存在3个库,包括information_schema,mysql和performance_schema。performance_schema提供了访问数据库元数据的方式。元数据是关于数据的数据,如数据库...原创 2019-03-06 18:14:16 · 1292 阅读 · 0 评论 -
DVWA练习6-暴力破解
title: DVWA练习6-暴力破解date: 2016-03-16 13:37:45categories: 安全tags: Web安全一、暴力破解1.简介暴力破解是一种针对密码破解的方法,主要是使用枚举法,将密码逐个测试,直到找到真正的密码。一般暴力破解比较耗时。且需要好的字典。2.攻击一般的攻击主要是使用爆破软件进行破解,主要的工具有Hydra,burpsuite等等。...原创 2019-03-11 22:51:44 · 2482 阅读 · 0 评论 -
DVWA练习7-命令执行
title: DVWA练习7-命令执行date: 2016-03-21 22:43:24categories: 安全tags: Web安全一、命令执行1.简介命令执行漏洞指攻击者可以随意执行系统命令,属于代码执行。在Web程序中经常提供一些执行系统命令的函数,当用户可以输入任意命令,没有过滤时,就会发生命令执行漏洞。2.成因很多语言中都有执行系统命令的函数。如php中 sys...原创 2019-03-11 22:52:59 · 578 阅读 · 0 评论 -
SQL注入学习
title: SQL注入学习date: 2016-03-26 20:24:37categories: 安全tags: [Web安全,SQL注入]一、原理1.简介SQL注入的原因主要是在SQL查询中,没有过滤用户输入的数据,导致输入的恶意代码被执行,从而产生漏洞。如下的语句中$sql="SELECT * FROM user WHERE username='{$username}' ...原创 2019-03-11 22:54:39 · 492 阅读 · 0 评论 -
XSS学习
title: XSS学习date: 2016-04-03 20:35:43categories: 安全tags: [Web安全,XSS]一、XSS原理xss即 跨站脚本攻击(Cross Site Scripting),是指攻击者在页面中插入恶意的Script脚本,当用户浏览页面时,插入其中的Script脚本会被执行,从而达到攻击的目的。例如:<?php$name = $_G...原创 2019-05-20 22:40:05 · 806 阅读 · 0 评论 -
CSRF学习
title: CSRF学习date: 2016-04-19 18:45:30categories: 安全tags: Web安全一、简介CSRF(跨站点请求伪造),即攻击者构造一个URL,通常这个URL是可以完成某种动作,如添加管理员,删除文章等等。然后发送给已登录的用户,当该用户点击此URL时就会触发攻击。以DVWA为例:当管理员更改密码时,以GET方式提交链接如下http://...原创 2019-05-20 22:47:47 · 201 阅读 · 0 评论 -
文件上传/文件包含漏洞学习
title: 文件上传/文件包含漏洞学习date: 2016-04-25 21:52:19categories: 安全tags: Web安全** 文件上传漏洞 **在Web程序中,经常需要用到文件上传的功能。如用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。如果上传了可执行文件或者网页脚本,就会导致网站被控制甚至服务器沦陷。常...原创 2019-05-20 22:48:18 · 1459 阅读 · 0 评论 -
命令执行-代码执行漏洞学习
title: 命令执行-代码执行漏洞学习date: 2016-04-30 16:51:13categories: 安全tags: Web安全** 命令执行 **在Web应用中,有时候会用到一些命令执行的函数,如php中system、exec、shell_exec等,当对用户输入的命令没有进行限制或者过滤不严导致用户可以执行任意命令时,就会造成命令执行漏洞。以DVWA为例,在DVWA...原创 2019-05-20 22:48:45 · 1376 阅读 · 0 评论 -
mysql盲注
title: mysql盲注comments: falsedate: 2016-05-27 13:21:58categories: 安全tags: [Web安全,SQL注入,Python]dvwa-mysql盲注一、盲注SQL基础函数mysql中有几个函数可以用来进行盲注。包括 sleep(),ascii(),substring(),length(),if()等。其中:sl...原创 2019-05-20 22:49:58 · 1260 阅读 · 0 评论 -
Web日志分析学习
title: Web日志分析学习comments: falsedate: 2016-08-09 23:50:32categories: 安全tags: Web安全Apache日志分析Apache默认日志存在于安装目录下的logs文件中。其记录基本为:127.0.0.1 - - [09/Jul/2016:16:37:49 +0800] "GET / HTTP/1.1" 302 -...原创 2019-05-20 22:50:36 · 934 阅读 · 0 评论 -
DVWA练习5-文件包含漏洞
title: DVWA练习5-文件包含漏洞date: 2016-03-11 13:32:17categories: 安全tags: Web安全一、文件包含漏洞1.简介如果允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。PHP: include(),include_once(),require(),requ...原创 2019-03-11 22:50:27 · 465 阅读 · 0 评论 -
DVWA练习4-上传漏洞
title: DVWA练习4-上传漏洞date: 2016-03-07 17:31:32categories: 安全tags: Web安全一、上传漏洞1.简介Web服务中经常有上传文件的功能,如果不对上传的文件进行限制或者限制被绕过,就有可能上传可执行文件,获取系统权限。2.漏洞成因参考wooyun wiki*导致文件上传的漏洞的原因较多,主要包括以下几类:服务器配置不当开...原创 2019-03-11 22:50:08 · 322 阅读 · 0 评论 -
Metasploit学习2-后门制作
title: Metasploit学习2-后门制作date: 2018-04-15 20:15:19categories: 安全tags: [Metasploit,工具]介绍下几个后门制作工具的使用,主要包括msfvenom,thefatrat(推荐),shellter。msfvenommsfvenom是msf框架中用来生成后门的工具。查看命令➜ ~ msfvenom -h...原创 2019-03-06 21:39:36 · 1295 阅读 · 0 评论 -
Metasploit学习-1
title: Metasploit学习-1date: 2018-03-14 21:17:37categories: 安全tags: [Metasploit,工具]Metasploit 介绍Metasploit是一个漏洞利用框架,全称The Metasploit Framework,简称MSF。msf包括各种模块,插件,和第三方工具。如msfvenom,db_nmap,db_sqlm...原创 2019-03-06 21:40:12 · 509 阅读 · 0 评论 -
代码审计学习-4
title: 代码审计学习-4comments: falsedate: 2016-11-04 20:50:39categories: 安全tags: 代码审计宽字节注入,二次注入。宽字节注入当MySQL使用了“宽字符集”时,可能会由于编码转换而产生漏洞,具体的原理为如当数据库使用了GBK编码时,如果注入参数中存在%df%27,即可与程序中的转义字符\(%5c)重新组合而使转义字符...原创 2019-03-06 21:48:31 · 288 阅读 · 0 评论 -
代码审计学习-3
title: 代码审计学习-3comments: falsedate: 2016-09-20 22:34:01categories: 安全tags: 代码审计文件操作漏洞包括:文件包含,文件读取,文件删除,文件修改以及文件上传漏洞。这里只讲文件读取,文件删除漏洞。文件读取文件读取函数危险函数包括file_get_contents(),highlight_file(),fop...原创 2019-03-06 21:48:50 · 401 阅读 · 0 评论 -
代码审计学习-2
title: 代码审计学习-2comments: falsedate: 2016-09-13 01:47:25categories: 安全tags: 代码审计代码执行&&命令执行代码执行代码执行漏洞的危险函数包括:eval(),assert(),preg_replace(),call_user_func()、call_user_func_array()、crea...原创 2019-03-06 21:49:10 · 412 阅读 · 0 评论 -
代码审计学习-1
title: 代码审计学习-1comments: falsedate: 2016-09-06 21:29:05categories: 安全tags: 代码审计输入与输出过滤PHP输入变量列表:变量名定义$_SERVER预定义服务器变量$_GET用于收集来自 method=“get” 的表单中的值$_POST用于收集来自 method=“pos...原创 2019-03-11 22:39:39 · 220 阅读 · 0 评论 -
DVWA练习1-XSS
title: DVWA练习1-XSSdate: 2015-12-02 23:28:56categories: 安全tags: [Web安全,XSS]一、XSS1.XSS简介XSS即跨站脚本攻击,恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS通常分为三类:反射型XSS 存储型XSS D...原创 2019-03-11 22:46:38 · 401 阅读 · 0 评论 -
DVWA练习2-CSRF
title: DVWA练习2-CSRFdate: 2016-01-03 01:44:17categories: 安全tags: Web安全一、CSRF1.CSRF简介CSRF跨站请求伪造,是一种使已登录用户在不知情的情况下执行某种动作的攻击。因为攻击者看不到伪造请求的响应结果,所以CSRF攻击主要用来执行动作,而非窃取用户数据。当受害者是一个普通用户时,CSRF可以实现在其不知情的情...原创 2019-03-11 22:47:11 · 300 阅读 · 0 评论 -
DVWA练习3-SQL注入
title: DVWA练习3-SQL注入date: 2016-03-02 22:44:13categories: 安全tags: [Web安全,SQL注入]一、SQL注入1.简介所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的...原创 2019-03-11 22:49:48 · 541 阅读 · 0 评论 -
Web for pentest-XSS
title: Web for pentest-XSScomments: falsedate: 2016-07-24 23:35:22categories: 安全tags: [Web安全,XSS]example1:未作任何过滤http://192.168.10.12/xss/example1.php?name=<script>alert('xss')</script...原创 2019-05-20 22:51:09 · 390 阅读 · 0 评论