挖洞要分析抓到的包 注意源码里面的隐藏链接 1.SQL注入 分为3种类型 cookie,注入,post注入,get注入 sql注入是owasp top 排名前3的漏洞, sql是设计逻辑上的漏洞,没有过滤表单提交或页面提交数据夹杂着SQL语句,导致数据库受到攻击,数据被窃取 预防sql注入:过滤,储 ...
分类:
其他好文 时间:
2017-06-16 23:08:56
阅读次数:
200
1、迷宫 2、python多线程下载文件 3、乱码编码 4、抓包来看ftp状态码 ...
分类:
其他好文 时间:
2017-05-30 21:02:48
阅读次数:
136
http://192.168.136.131/sqlmap/mysql/get_int.php?id=1当给sqlmap这么一个url的时候,它会:1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据sqlmap支持五种不同的注入模式:1、基于 ...
分类:
数据库 时间:
2017-05-25 23:22:06
阅读次数:
263
PS:我是分了两次做的这次试验,第二次实验的时候电脑出了一点问题熄火了……原本后面的是有图的结果博客没保存图没了…… WebGoat WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。这个应用 ...
分类:
Web程序 时间:
2017-05-17 23:28:14
阅读次数:
266
sourcecode核心代码: 这个题与前面的一个很相似,都是检查了username是否存在。但这个题将返回的信息全部注释掉了,所以我们无法通过“返回信息”来进行盲注。这里为什么要打引号呢?请参看OWASP的文章:https://www.owasp.org/index.php/Blind_SQL_I ...
分类:
数据库 时间:
2017-05-15 18:31:08
阅读次数:
222
OWASP 认证 密码维度 单因素认证、双因素认证、多因素认证(密码、手机动态口令、数字证书、指纹等各种凭证)。 密码强度 长度:普通应用6位以上;重要应用8位以上,考虑双因素; 复杂度:密码区分大小写;密码为大写字母、小写字母、数字、特殊符号中两种以上的组合;不要有(语义上)连续性的字符,比如12 ...
分类:
其他好文 时间:
2017-05-14 13:44:07
阅读次数:
246
Azure上的APP Gateway是七层负载均衡服务,WAF是APP Gateway服务的扩展。在实现七层负载均衡的同时,增加了WAF的功能,可以对后台的HTTP服务进行保护。 Azure WAF采用的是开源的ModSecurity的OWASP core rule sets实现的WAF功能。具体请 ...
分类:
移动开发 时间:
2017-05-09 19:41:28
阅读次数:
399
2017年4月初,OWASP发布了关于Top10的征求意见版。 争议最大的是A7攻击检测与防范不足。 但我主要是按照日常的渗透漏洞进行解读分析的。 解读完毕后,首发t00ls原创文章。 https://www.t00ls.net/viewthread.php?from=notice&tid=3938 ...
分类:
Web程序 时间:
2017-04-27 15:31:34
阅读次数:
840
干货大放送!Github最全渗透测试资源!在线资源:渗透测试资源:Metasploit Unleashed 链接地址 - 免费攻防安全metasploita课程PTES 链接地址 - 渗透测试执行标准OWASP 链接地址 - 开源Web应用安全项目Shellcode开发:Shellcode Tuto ...
分类:
其他好文 时间:
2017-04-23 12:32:42
阅读次数:
203
最近看一篇老文章,看到webscarab这个工具,去看编译好的https://sourceforge.net/projects/owasp/files/WebScarab/,最早也是07年的事了,因此决定重新编译下。1、下载配置ant环境2、在github里下载OWASP-WebScarab3、antbuild出错了(\webscarab\util\HtmlEncoder.java文件注..
