2019-2020-2 20175326李一潇《网络对抗技术》 Exp9 Web安全基础 一、实验内容 SQL注入攻击 命令注入 数字型注入 日志欺骗 字符串型注入 数字型SQL注入 字符串注入 XSS攻击 XSS 钓鱼 存储型XSS攻击 反射型XSS攻击 CSRF攻击 跨站请求伪造 绕过 CSRF ...
分类:
Web程序 时间:
2020-05-27 18:43:22
阅读次数:
88
本地搭建sql注入网站练习 ? 测试安全狗,输入不合法参数被安全狗拦截: ? 使用sqlmap: ? ? 检测到防护机制,失败; 先手工尝试绕过安全狗: ? 将空格替换为 “/*//\*//\*\/c*/” 成功绕过安全狗; 写个sqlmap脚本: #demo.py def tamper(paylo ...
分类:
数据库 时间:
2020-05-27 13:46:26
阅读次数:
123
1,CDN,Content Distribute Network,可以直译成内容分发网络,CDN解决的是如何将数据快速可靠从源站传递到用户的问题。用户获取数据时,不需要直接从源站获取,通过CDN对于数据的分发,用户可以从一个较优的服务器获取数据,从而达到快速访问,并减少源站负载压力的目的。 2,为什 ...
分类:
其他好文 时间:
2020-05-22 18:55:16
阅读次数:
99
burp插件目录: Scanners-扫描类 Custom Features-自定义功能类 Beautifiers and Decoders-美化和解码相关 Cloud Security-云安全,主要是AWS这类真云 Scripting-脚本相关 OAuth and SSO-开放授权(OAuth)和 ...
分类:
数据库 时间:
2020-05-21 23:51:46
阅读次数:
84
Y4er哥给的文章 整理下UAC这个知识点 先介绍下UAC(用户帐户控制): UAC(User Account Control)是微软在 Windows Vista 以后版本引入的一种安全机制,通过 UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问 ...
分类:
其他好文 时间:
2020-05-19 20:31:42
阅读次数:
109
这篇文章可能比较适合那些在经常在Mac下进行Java编程开发,或者经常使用Java工具的朋友。不关心Java或者不了解Java的朋友可以绕过本文哈~ 1.Mac下当你在【终端】输入java-version时,是执行的哪里的java呢,whichjava命令可以看到,就是【/usr/bin/java】 ...
分类:
编程语言 时间:
2020-05-18 22:35:10
阅读次数:
77
一、同源策略 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 同源策略,它是由Netscape提出的一个著名的安全策略。 ...
分类:
其他好文 时间:
2020-05-16 18:41:04
阅读次数:
55
header里头有个user=0,将其修改成1 再post money=100000001&password=404a发现money参数过长,使用数组绕过最后post money[]=100000001&password=404a ...
分类:
其他好文 时间:
2020-05-15 00:40:58
阅读次数:
71
文件包含漏洞概述 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而不需要再次编写,其中文件调用的过程一般称为文件包含。 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。 <?php e ...
分类:
其他好文 时间:
2020-05-14 23:49:24
阅读次数:
112
作者:LoRexxar‘@知道创宇404实验室时间:2020年5月11日原文地址:https://paper.seebug.org/1197/周末看了一下这次空指针的第三次Web公开赛,稍微研究了下发现这是一份最新版DZ3.4几乎默认配置的环境,我们需要在这样一份几乎真实环境下的DZ中完成Getshell。这一下子提起了我的兴趣,接下来我们就一起梳理下这个***过程。与默认环境的区别是,我们
