1、Nikto2简介:Nikto2
是一款使用perl语言写的多平台扫描软件,是一款命令行模式的工具,它可以扫描指定主机的WEB类型主机名、特定目录、Cookie、特定CGI漏洞、XSS漏洞、sql注入漏洞、返回主机允许的http方法等安全问题。位置:/pentest/web/nikto
用法 1....
分类:
Web程序 时间:
2014-05-26 04:41:42
阅读次数:
235
1.漏洞获取方法
1)扫描器扫描 2)乌云 3)线上服务漏洞
例子:
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件
2.入侵原因
1)好玩 2)拖库,目的,获得各种账号密码。同样账号在其他地方的密码有可能一致。
3)删文章,挂黑链,不正当竞争攻击
3.常见漏洞
1)sql注入 2)xss
4.一些获...
分类:
Web程序 时间:
2014-05-25 02:00:10
阅读次数:
272
一个完整的Web安全体系测试可以从部署与基础结构,输入验证,身份验证,授权,配置管理,敏感数据,会话管理,加密,参数操作,异常管理,审核和日志记录等几个方面入手Web安全性测试数据加密:某些数据需要进行信息加密和过滤后才能进行数据传输,例如用户信用卡信息、用户登陆密码信息等。此时需要进行相应的其他操...
分类:
Web程序 时间:
2014-05-23 06:46:14
阅读次数:
275
一,Session:含义:有始有终的一系列动作\消息1,隐含了“面向连接”和“保持状态”两种含义2,一种用来在客户端与服务器之间保持状态的解决方案3,也指这种解决方案的存储结构“把××保存在session里”二,http协议本来是无状态的,所以引进了cookie和session机制来保持连接状态co...
分类:
Web程序 时间:
2014-05-23 06:00:13
阅读次数:
326
Web安全测试之XSSXSS 全称(Cross Site Scripting) 跨站脚本攻击,
是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),
当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网...
分类:
Web程序 时间:
2014-05-17 20:20:05
阅读次数:
371
建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误.1.
输入验证客户端验证
服务器端验证(禁用脚本调试,禁用Cookies)1.输入很大的数(如4,294,967,269),输入很小的数(负数)2.输入超长字符,如对输入文字长度有限制,则尝试超过限制,刚好到达限...
分类:
Web程序 时间:
2014-05-13 18:53:48
阅读次数:
477
文件上传漏洞演示脚本之js验证00716关于文件上传漏洞,想必玩web安全的同学们都有接触,之前本站也发布过一篇文章介绍文件上传漏洞的各种绕过方法,但是只是有文档却没有演示代码,最近给公司一客户培训,就照文档中的绕过写出了相应的代码,方便我等小菜研究,此次的文章我会连续发几天都是关于如何绕过的,全都...
分类:
Web程序 时间:
2014-05-12 05:28:28
阅读次数:
581
Burpsuite教程与技巧之HTTP brute暴力破解Gall@WEB安全2013-02-28
共19052人围观,发现32个不明物体收藏该文感谢Gall投递常规的对username/passwprd进行payload测试,我想大家应该没有什么问题,但对于Authorization:
Basic...
分类:
其他好文 时间:
2014-05-12 05:27:26
阅读次数:
340
额,还没有想好写什么(我这样忽悠读者,读者一定会感受到我的诚意的吧!)。
总之呢,我介绍一下现在我基本了解的一些计算机技术吧 1.安全类 web安全(入 侵 、 提 权 ) 网络安全(路由器 、wifi、以及其他) 信息安全(社工)
2.制作类 c系列 java html ps(这个应该也算...
分类:
其他好文 时间:
2014-05-01 10:02:20
阅读次数:
442
