- 博客(5)
- 收藏
- 关注
RSS订阅原创 NSACE高级Web安全专家认证
NSACE认证总体目标是培养“德才兼备、攻防兼备”信息安全工程师,使其能够在各级行政、企事业单位、网络公司、信息中心、互联网接入单位中从事信息安全服务、运维、管理工作。培训完成既能满足当前的信息安全工作岗位要求又能使学员具备职业发展的潜力。在认证中,学员经过训练,能够担负起小型网络信息安全工作。对网络信息安全有较为完整的认识,掌握电脑安全防护、网站安全、电子邮件安全、ntranet网络安全部署、操作系统安全配置、恶意代码防护、常用软件安全设置、防火墙的应用等技能。
2023-03-29 14:44:04
264
原创 代码执行漏洞
代码执行漏洞(RCE:远程命令或者代码执行)原理:用户输入的数据,被当做后端代码进行执行代码执行:用户输入的数据,被当做后端代码进行执行命令执行:用户输入的数据,被当系统进行执行在php中有许多的代码执行函数例如<php eval($_request[8]);?> //eval 把字符串作为PHP代码执行.可以多行执行 <php assert($_request[8]);?> //assert将传入的参数当成PHP代码.只能单行执...
2021-05-23 21:58:10
2837
2
原创 文件上传(xss)
我们平时在拿webshell的时候最为常见的就是找到上传点进行文件上传 一句话木马或者说是用图片马然后用websell管理工具进行连接(菜刀,蚁剑等等)当然拿webshell的方式方法有许多我这里以文件上传为例,好吧通常一般的网站,都是以白名单,因为白名单比黑名单更加安全。这是肯定的。但是不乏有以黑名单的网站这个不是绝对的,这是相对的在目标网站后台文件上传点,假如说是以黑名单的方式除了我们知道的绕过方式像前端进行校验,我们通过burp进行抓包改后缀名.还可以通过文件.
2021-05-22 16:04:38
3034
原创 越权漏洞(逻辑漏洞)
越权漏洞(逻辑漏洞)重点:把握住传参就能把握住渗透测试的命脉1.顾名思义就是你越过了某一权限。原本呢你是没有这个权限的,你通过了某技术手段或骚操作,越过了这个限制,从而可以看到,修改,操作这个原本不是你的东西比如:你是一名普通员工,你本来只能看到你自己的工资表。结果这存在漏洞,你利用这个漏洞,就可以看到整个公司各部门所有人员的工资报表(而这个工资报表只有老总级别的才可以看到)这就是越权漏洞你=普通员工 --->通过越权--->看到了只有老总才能看到的东西2.越权.
2021-05-22 15:04:33
2735
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人