安基网 首页 安全Web安全
订阅

Web安全

  • sql手工注入-SQL注入语法讲解

    sql手工注入-SQL注入语法讲解
    1、判断是否有注入;and 1=1;and 1=22、初步判断是否是mssql;and user03、判断数据库系统;and (select count(*) from sysobjects)0 mssql;and (select count(*) from msysobjects)0 access4、注入参数是字符‘and and ”=’5、搜索时没过滤参数的‘and and ‘%25’=’6、 ...
    2019-7-10 04:32
  • PHP一句话木马之小马

    PHP一句话木马之小马
    什么是一句话木马一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。我们如何发送命令,发送的命令如何执行?我们可以通过GET 、POST 、COOKIE这三种方式向一个网站提交 ...
    2019-7-2 16:11
  • 跨站脚本攻击(XSS)

    跨站脚本攻击(XSS)
    概念:通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,实现控制用户浏览器行为的一种攻击方式。全称:Cross Site Script(本来缩写是CSS,但是为了和层叠样式表CSS有所区别,所以在安全领域叫做“XSS”)危害:盗取用户信息、篡改页面钓鱼、制造蠕虫等。XSS分类:存 ...
    2019-7-1 12:40
  • 开发者必读篇之Web漏洞防护指南

    开发者必读篇之Web漏洞防护指南
    web的发展史早期的互联网非常的单调,一般只有静态页面,现在,随着技术的发展,web上大多数站点实际上是web应用程序,在服务器和浏览器之间进行双向的信息传递。他们支持注册登录,金融交易,搜索及用 ...
    2019-6-29 13:42
  • Laravel 5.8 SQL 注入漏洞详解

    Laravel 5.8 SQL 注入漏洞详解
    0x01 背景最近研究Laravel框架的代码审计,因为3月份爆出过一个ignore函数的一个漏洞,网上找了些文章,看了下, 自己搭建环境测试,一直没有成功, 自己就详细的审计了一遍0x02 laravel介绍Laravel 在全球范围内有着众多用户。该框架在国外很受欢迎,国外用户量远大于国内。当然,国内也有大型企业使用该框 ...
    2019-6-8 08:51
  • Sql注入衔接作者番茄小姐姐

    Sql注入衔接作者番茄小姐姐
    什么是sql注入?所谓SQL注入,就是通过把SQL命令插入到 Web表单提交 或 URL 或 页面请求等的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令。注:从这句话看出常见的注入点在a. web表单b. URL链接中c. 登录框(页面请求查询)二、SQL注入原理SQL注入(SQLInjection)是这样一种漏洞:当我们的Web a ...
    2019-5-27 00:46
  • 无需括号和分号的XSS

    无需括号和分号的XSS
    几年前,我发现了一种在javascript语句中调用函数而不使用括号(使用onerror和throw)的方法。它的工作原理是将onerror设置为你想调用的函数,然后用throw语句将参数传递给函数:scriptonerror=alert;throw 1337/scriptonerror在每次javascript执行异常时都会被激活,调用指定的处理程序,并且t ...
    2019-5-21 04:12
  • JSON劫持攻击[汇总]

    JSON劫持攻击[汇总]
    JSON 劫持又为“ JSON Hijacking ”,最开始提出这个概念大概是在 2008 年国外有安全研究人员提到这个 JSONP 带来的风险。其实这个问题属于 CSRF( Cross-site request forgery 跨站请求伪造)攻击范畴。当某网站听过 JSONP 的方式来快域(一般为子域)传递用户认证后的敏感信息时,攻击者可以构造恶意 ...
    2019-5-17 02:51
  • W12Scan:一款功能强大的网络安全资产扫描引擎

    W12Scan:一款功能强大的网络安全资产扫描引擎
    W12是一款功能强大的网络安全资产扫描引擎,它可以自动收集关于分析目标的相关资产信息,以供研究人员分析和使用。
    2019-5-14 17:31
  • 关于Web安全知识的扎心10问!你了解几个?

    关于Web安全知识的扎心10问!你了解几个?
    常听前辈讲:如今学生,才学1分,便觉知3分;才学3分,便觉知7分。若能达7分,方知才1分。菜鸟和高手的区别,不完全在于你学了多少,更看你能否清晰认知到目前所处阶段,正确迸发出对下一阶段知识的渴望。 技术领域更是如此,才学一二,懵懵懂懂便提枪跃马,被马儿调戏一 ...
    2019-5-11 13:53
  • 【安全】58反抓取简介

    【安全】58反抓取简介
    0x00 介绍网络爬虫,常又被称呼为Spider,网络机器人,主要模拟网络交互协议,长时间,大规模的获取目标数据。普通爬虫会从网站的一个链接开始,不断收集网页资源,同时不断延伸抓取新获取的URL以及相应的资源。在对抓取目标内容结构分析的基础上,还会有目的性更强的聚焦型爬虫。爬虫对网站的抓取,最 ...
    2019-5-8 14:54
  • “找回密码”邮件骚操作之帐户接管

    “找回密码”邮件骚操作之帐户接管
    在这篇文章中,我将讲述我在某个网络应用中所找到的逻辑漏洞,它存在于“找回密码”这个功能中,可以让我接管任意用户的帐号。虽然最后进行攻击的方式是通过钓鱼手段,但这个漏洞依然有足够的威胁。以下我将目标称为“app”。
    2019-4-24 17:35
  • 新办法绕过xss过滤

    新办法绕过xss过滤
    大家都知道,普遍的防御XSS攻击的方法是在后台对以下字符进行转义:、、’、”,但是经过本人的研究发现,在一些特殊场景下,即使对以上字符进行了转义,还是可以执行XSS攻击的。首先看一个JS的例子:Defaultscriptv ...
    2019-4-20 10:56
  • 常见六大Web安全攻防解析

    常见六大Web安全攻防解析
    前言在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。一、XSSXSS (Cross-Site Scripti ...
    2019-4-18 13:08
  • Web弱口令通用检测方法探究

    Web弱口令通用检测方法探究
    注意:本脚本只是探讨通用web口令破解的可行性,所有测试请自行搭建靶机环境或者在拿到目标系统相关授权后再进行测试。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
    2019-4-16 17:35
  • 123下一页
    最新
    返回顶部