安基网 首页 安全Web安全
订阅

Web安全

  • JSshell:一款针对XSS漏洞的JavaScript反向Shell

    JSshell:一款针对XSS漏洞的JavaScript反向Shell
    JSshell是一个JavaScript反向Shell工具,该工具可以帮助广大研究人员远程利用XSS漏洞或扫描并发现XSS盲注漏洞。当前版本的JSshell支持在Unix和Windows操作系统上运行,并且同时支持Python2和Python3。跟JShell(一款由s0med3v开发的通过XSS漏洞获取JavaScript反向Shell的工具)相比,这是一个非常大的 ...
    2020-7-6 15:07
  • XSS跨站脚本攻击原理及代码攻防演示

    XSS跨站脚本攻击原理及代码攻防演示
    什么是XSS1.XSS原理跨网站脚本(Cross-site scripting,XSS) 又称为跨站脚本攻击,是一种经常出现在Web应用程序的安全漏洞攻击,也是代码注入的一种。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利 ...
    2020-6-29 13:15
  • 实操web漏洞验证——SQL注入漏洞

    实操web漏洞验证——SQL注入漏洞
    首先不了解SQL注入漏洞的读者,请查看我的文章《十大常见web漏洞——SQL注入漏洞》,有兴趣的可以关注我的头条号@科技兴,大家一起探讨科技尤其是网络安全方面的知识。今天我们来讲一下实战操作验证SQL注入漏洞的方法,以下的操作实例都是通过漏洞扫描系统,扫描出存在相应漏洞的站点URL,由于系统存在 ...
    2020-6-25 02:18
  • 从建站到拿站 -- HTML表单

    从建站到拿站 -- HTML表单
    Form表单简介 表单是允许用户在表单中输入内容,比如用户名和密码,并将信息提交到服务器 二、简单表单 action:将输入框的内容提交到那服务器 method:提交方式,GET方式(有长度限制)和POST方式 请输 ...
    2020-6-5 14:32
  • 细品Web安全之CSRF实例解析

    细品Web安全之CSRF实例解析
    跨站请求伪造(Cross Site Request Forgery),是指黑客诱导用户打开黑客的网站,在黑客的网站中,利用用户的登陆状态发起的跨站请求。CSRF攻击就是利用了用户的登陆状态,并通过第三方的站点来做一个坏事。
    2020-6-5 13:46
  • 如何提升Web应用防护并且结合AI智能技术

    如何提升Web应用防护并且结合AI智能技术
    随着互联网技术的持续发展,WEB应用越发受到业务系统的重视,WEB应用与核心业务系统已经密不可分。若是防篡改软件是基于文件管理的被动方式,那么WAF则是对威胁进行主动防御,并对WEB应用进行性能优化的最佳方案。WEB应用防护传统WAF防护4大问题1、采用阻拦扫描的手法来实现隐藏漏洞,却无法隐藏网页的 ...
    2020-6-3 13:23
  • HTML a标签打开新标签页避免出现安全漏洞,请使用“noopener”

    HTML a标签打开新标签页避免出现安全漏洞,请使用“noopener”
    新标签页中打开一个网址如何出现安全漏洞让我们在网站上的新标签页中打开一个网址,HTML如下a href="https://malicious-domain.netlify.com" target="_blank" 访问恶意网站!/a这里我们有一个指向恶意网站的 href 属性,并以 _blank 属性为 target,使其在新标签页中打开。用 ...
    2020-5-20 12:45
  • Blind XSS Payload进阶

    Blind XSS Payload进阶
     翻译文章,原文:Advanced Blind XSS Payloads在审核应用程序时,有时会丢失上下文,并且会遗漏问题。寻找Blind Cross-Site-Scripting(bXSS)时也是如此。去年,我写了关于AngularJS bXSS的博客,以及如何利 ...
    2020-5-12 13:28
  • 一般性网站攻击之:浏览器端

    一般性网站攻击之:浏览器端
    概念xss:cross site scripting(css?)跨站脚本攻击csrf:cross site request forgery 跨站点请求伪造XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面 ...
    2020-5-12 13:04
  • 一文详解Webshell

    一文详解Webshell
    Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、F ...
    2020-5-10 15:37
  • 每日漏洞 | Host头攻击

    每日漏洞 | Host头攻击
    0x00 概述漏洞名称:Host头攻击风险等级:低问题类型:管理员设置问题0x01 漏洞描述很多场景下,开发者都相信HTTP Host header传递的参数值用来更新链接导出脚本或者一些敏感操作。但该参数是可控的,若没有对其进行 ...
    2020-5-7 14:34
  • pikachu——XSS(跨网站脚本漏洞)

    pikachu——XSS(跨网站脚本漏洞)
    前述:前面DVWA中简单的学习了一下关于XSS的知识,在pikachu里的分类更加详细。简单介绍一下XSS,再补充一点前面没有提到过的内容。概述:XSS介绍和危害: XSS是一种发生在Web前端的漏洞,所以其危害的对象也主要是前端用户 XSS漏洞可以用来进行钓鱼攻击、前端js挖矿、盗取用户cookie,甚至对主机进行 ...
    2020-5-7 14:29
  • 手把手教你SQL注入

    手把手教你SQL注入
    本文主要讲SQL注入基础教程的,关注我并私信,我把这份教程发给你。什么是SQL注入?SQL注入指的数据库将用户输入的数据当作SQL语句执行,从而对数据库进行任意的操作达到攻击的目的。这里的“用户”一般是指发现网站漏洞并构造合法的SQL语句对网站进行攻击的人。怎么导致SQL注入?SQL注入有两个关键的 ...
    2020-4-11 11:26
  • 常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御

    常见web安全问题,SQL注入、XSS、CSRF,基本原理以及如何防御
    1.SQL注入原理:1).SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字元为不同命 令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式)2).SQL命令对于传入的字符串参数是用单引号字元所包起来。(但连续2个单引 号字元,在SQL资料库中,则视为字串中的一个单 ...
    2020-4-11 11:21
  • Web安全之CSRF攻击,大黑客的超级攻击!

    Web安全之CSRF攻击,大黑客的超级攻击!
    CSRF是什么?CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用 ...
    2020-4-3 13:42
  • 最新
    返回顶部