• 欢迎访问小澍的博客,编程记录,技术贴以及折腾的日常,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏我的博客吧
Brute Force And CRSF

Brute Force And CRSF

Day 07 连续集训的第七天,至此,已经介绍了web安全中的SQL注入,XSS注入,XML实体注入、文件上传这几种经典的漏洞问题,累啊。。。 Brute Force 原理 暴力破解的原理很简单,Attacker 事先知道(也可以不知道)一些用户名,试图破解用户名密码而进行的一种常规手段。一般网站对于登录成功与失败具有明显的差异,借助工具(BP)可以实现大……

文件上传

文件上传

Day 06 文件上传属于另一种常见的web安全漏洞,一般场景中一般不允许用户上传和网页后端相同格式的文件,攻击者的目的就是绕过规则将代码文件(如著名的一句话木马)挂到网站后台上,可先行查看网站后台文件。 流程 上传挂马文件进行尝试;成功,这网站是个智障,失败,下一步; 重复1,直到成功。。。 常见的方法 基于前端的 这方面不作为重点,前端防御能力实在……

XSS注入篇(反射形)

XSS注入篇(反射形)

Day 05 XSS是一种危害性非常大的漏洞,我的理解可以把这种攻击分为存储型以及非存储型的(业界一般分成三种),通过在前端的HTML代码中合理的插入js代码来执行危害用户权益的操作可以理解为非存储型XSS,而通过了网站本身可输入可存储的过程实现js注入即存储型的XSS。 非存储型XSS 一般流程 类似的搜索框进行搜索后,发现搜索内容作为url中的参数未进……

SQL注入加餐——带WAF的注入

SQL注入加餐——带WAF的注入

Day 04 今日的讲解主要以老大哥现场表演CTF,没有过多的知识域更新(只讲了一个XML注入),所以今天继续巩固一下昨天仓促收尾的高级SQL注入。 黑盒下的原理总结 关于报错注入: 所有题目的第一步都是进行闭合方式确定,在这一部的过程中,如果我们是根据服务器提示的语法错误看到后台内部的语法提示,则这题一定可以使用报错注入。这里给出常见的两句payload……

7.18 高级SQL注入实战

7.18 高级SQL注入实战

Day 03 今天主要介绍了多种常见的SQL注入方法,所以今天的笔记直接以实例来说明注入思路,但总的思路依旧是判断后台的SQL语句,然后进行语句构造。 less-7(补充) 昨天未收录第7题,题目屏蔽了报错提示,依靠SQL文件上传,将文件上传服务器,确定闭合方式后,上传直接查看文件,这里给出payload: ?id=-1'))union select1,da……

7.17 SQL注入基础与实战

7.17 SQL注入基础与实战

Day 02 按照今日进入了SQL注入环节(基于MySQL),注入作为OWASP Top10中的 top1, 足以窥见其对安全的危害程度,挖到了数据就具有了无限价值,而SQL注入的目的就是要尽可能的将目标服务器数据库的数据全部挖掘出来,所以无论进行怎样的研究都是不过分的,今日的培训给很多人打开了新世界的大门,借着这次培训,我系统的来梳理一下SQL注入的基础以……

7.16 集训起航

7.16 集训起航

开端 PTE证书是我给简历增加的最后一块砖,也是最重要的一块砖,它的培训内容将从HTTP协议学习开始,继而到web安全、数据库安全与中间件(安全)、操作系统安全,这四块共同组成了PTE的内容,也成为了一个新手渗透测试工程师的必备。 每个领域可以讲的很难,为了考试也可以适当讲的浅显,但诚然,具备了框架概念的持证者,对今后自身的安全技术道路发展会更加清晰。本系列……