-
web漏洞
查看全部 -
Burpsuite(拦截浏览器向服务器发的数据包):拦截,抓包,改包,重放
查看全部 -
谷歌黑语法:
inurl:搜索url网址中包含的指点字符串
intitle:搜索网页中的标题名中是否包含指定字
intext:搜索网页正文内容中的指定字符
inurl:login.php
intitle:登陆
intext:登陆
查看全部 -
攻击思路: 信息采集 -> 攻击测试 -> 提升权限 -> 内网漫游 -> 清楚痕迹
查看全部 -
web安全漏洞 :
输入输出验证不充分(用户输入不合规的具有攻击性的语句来破坏代码的完整性):sql注入,xss,csrf,目录穿越,文件上传,代码注入,命令注入,信息泄漏,暴力破解
设计缺陷(代码的逻辑处理):越权漏洞,非授权对象引用,业务逻辑缺陷
环境缺陷:(第三方框架)框架漏洞,(服务器)基础环境漏洞
sql注入:危害最大,用户指令未经任何判断,直接写入后台数据库,从而窃取数据,
目录穿越(输出):代码没有对url传入的路径进行判断,导致直接穿越到系统目录下,读取系统配置文件,返回的结果不经判断直接输入到客户端
业务逻辑缺陷:修改密码业务,后台验证用户名密码是否存在,验证成功后,直接后台参数替换用户名
框架漏洞:
查看全部 -
inurl:搜索url网址中包含的指点字符串
intitle:搜索网页中的标题名中是否包含指定字
intext:搜索网页正文内容中的指定字符
inurl:login.php
intitle:登陆
intext:登陆
查看全部 -
burpsuite常用的功能:
1、拦截
2、抓包
3、改包
4、重放
查看全部 -
谷歌黑语法:
inurl:搜索url网址中包含的指定字符串
intitle:搜索网页标题名中包含的指定字符串
intext:搜索网页正文中包含的指定字符串
查看全部 -
黑客攻击的思路:
信息收集(比如网站的开发者习惯的程序书写,习惯的程序错误等)--攻击测试(常见的漏洞测试)--提升权限(admin权限or user权限)--扩大成果(内网漫游)--清除痕迹
查看全部 -
1、输入输出验证不充分
输入:SQL注入:对数据库的输入输出没有进行严重
输出:目录穿越
2、设计缺陷
业务逻辑的缺陷
3、环境缺陷
框架漏洞
查看全部 -
渗透测试时通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法
查看全部 -
这个功能是改包并且发包。查看全部
-
利用谷歌shell(黑语法),快速收集信息。 代码后,加关键词。 比如字符串,等等。。查看全部
-
查一下网站源码,获取信息。 比如搜一下关键词,登陆说不定可以找到admin登录入口………… 自我总结查看全部
-
常见web安全漏洞
查看全部
举报