安基网 首页 安全Web安全
订阅

Web安全

  • 黑客大神熬夜整理的xss各种骚操作

    黑客大神熬夜整理的xss各种骚操作
    一、一般可利用的编码1.URL编码格式:%十六进制数记住常用符号、字母的 ASCII 码,能熟练转换 10 -16 进制即可。中文的URL编码略有不同,因为用的地方没有,也就不想写了如何利用:浏览器的 URL 地址栏,反射型 XSS,可以将特殊字符进行 URL 编码,可以尝试多次编码试一试;POST过去的数据,存储型 XSS ...
    2020-9-17 08:51
  • php后门隐藏技巧大全

    php后门隐藏技巧大全
    1. attrib +s +h创建系统隐藏文件:attrib +s +a +r +hattrib +s +h 文件名在 Windows 10下即使开启了显示隐藏的项目,或dir仍然看不见。2. 利用 ADS 隐藏文件NTFS交换数据流(Alternate Data Streams,简称 ADS)是 NTFS 磁盘格式的一个特性,在 NTFS文件系统下,每个文件都可以存在多个数据流。通 ...
    2020-9-5 08:22
  • Web渗透测试(CSRF)

    Web渗透测试(CSRF)
    跨站请求伪造(Cross Site Request Forgery,CSRF)Hacker 户可以伪造admin 户的转账请求,强制admin 户,转账给任意户。基本概念CSRF 是种攻击,它强制终端户在当前对其进身份验证后的Web 应程序上执本意操作的攻击。CSRF 攻击的重点在于更改状态的请求,不是盗取数据,因为攻击者法查看伪造请求的响应 ...
    2020-9-1 08:46
  • WEB渗透——MySQL注入原理与注入检测

    WEB渗透——MySQL注入原理与注入检测
    MySQL注入原理SQL,叫做结构化的查询语言,所谓的SQL注入,就是把SQL命令插入到web表单提交或输入域名页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它就是利用现有程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在web表单中输入(恶意)SQL语句得到 ...
    2020-8-17 00:53
  • Web渗透测试——一句话木马的变形

    Web渗透测试——一句话木马的变形
    我们讲到了一句话木马和中国菜刀,以及如何利用中国菜刀通过上传到目标主机的一句话木马来获取目标主机的管理权限,也知道了一句话木马作为Webshell的一种,代码十分少,便于操作,但是功能却十分强大,尤其是配合中国菜刀的使用时,因此一句话木马也受到了各大安全软件的特别关注,使得其很 ...
    2020-8-14 00:53
  • 转发 微博 Qzone 微信 黑客大神熬夜整理的xss各种骚操作

    转发 微博 Qzone 微信 黑客大神熬夜整理的xss各种骚操作
    一、一般可利用的编码1.URL编码格式:%十六进制数记住常用符号、字母的 ASCII 码,能熟练转换 10 -16 进制即可。中文的URL编码略有不同,因为用的地方没有,也就不想写了如何利用:浏览器的 URL 地址栏,反射型 XSS ...
    2020-8-12 19:04
  • 常用的攻击手段SQL注入

    常用的攻击手段SQL注入
    一、概述1. 攻击原理SQL注入是较常见的网络攻击方式之一,主要针对WEB应用,利用程序员编写代码的疏忽,对于连接数据库的应用,通过重组SQL语句,使服务器执行恶意SQL代码,从而获取到非授权的权限和资料。京东 16年 ...
    2020-8-11 04:55
  • 2020年最新Web安全:安全攻防案例、客户端攻击、服务器端攻击

    2020年最新Web安全:安全攻防案例、客户端攻击、服务器端攻击
    Web 安全是互联网中不可或缺的一个领域,这个领域中诞生了大量的黑帽子与白帽子,他们都是安全领域的王者,在平时里,他们利用各种巧妙的技术互相博弈,时不时就会掀起一场 Web 安全浪潮,真可谓神仙打架,各显神通。本文从一个吃瓜群众的角度,聊一聊 Web 安全的一些有趣故事。安全世界观安全攻防案例 ...
    2020-7-31 17:53
  • SQL盲注(Medium)

    SQL盲注(Medium)
    Medium与low的方法类似,关键是有没有注入的,找到注入点和使用哪种注入方法!设置安全级别为:Medium获取页面源代码收集信息:post请求:BurpSuite抓包获取请求信息:可以修改请求内容来确定是否存在注入点,并选择注入方法,这里不使用BP,使用hackbar来实验:id值为数字类型!确认是否存在注入点: ...
    2020-7-30 01:03
  • 极致CMS -- PHP代码审计 SQL注入漏洞

    极致CMS -- PHP代码审计 SQL注入漏洞
    极致CMS是一款商城类的CMS,结合了很多此类CMS的特点,而且它的项目管理者也在更新速度和优化程度付出了很多的心血。当然,没有哪一个CMS是不存在漏洞的,需要非常耐心的审计才能突破屏障
    2020-7-29 14:02
  • 彻底搞清HTTPS安全通讯之SSL/TLS加密协议

    彻底搞清HTTPS安全通讯之SSL/TLS加密协议
    一、 简介SSL(Secure Socket Layer 安全套接层),由网景在20世纪90年代开发的安全协议;1995年Netscape发布SSL v2.01996年Netscape发布SSL v3.01999年 IETF(Internet工程任务组)发布TLS v1.0,用于替代SSL v3.02006年 发布TLS v1.12008年 发布TLS v1.22018年 发布TLS v1.3至2020年3月,微软、苹果、 ...
    2020-7-28 01:22
  • Esn黑客初学者入门第九步:新手识别web程序防火墙步骤

    Esn黑客初学者入门第九步:新手识别web程序防火墙步骤
    在Web应用程序中起到了将低于管理员技术之人的攻击抵挡在了门外,从而可以让自己的web程序更加安全。但是攻防中“道高一丈魔高一丈”。但是作为初学者;发现对方防火墙最简单的方式就是利用工具:如:Nmap或者是WaFwoog等优秀工具。
    2020-7-23 11:22
  • 后台服务器老是被勒索多半是没有使用Nginx代理

    后台服务器老是被勒索多半是没有使用Nginx代理
    我们真实的服务器不应该直接暴露到公网上去,否则更加容易泄露服务器的信息,也更加容易受到攻击。一个比较“平民化”的方案是使用Nginx反向代理它。今天就来聊一聊使用Nginx反向代理的一些能力,Nginx代理能帮助我们实现很多非常有效的API控制功能。这也解释了我为什么一直推荐使用Nginx来代理 ...
    2020-7-23 11:18
  • JSshell:一款针对XSS漏洞的JavaScript反向Shell

    JSshell:一款针对XSS漏洞的JavaScript反向Shell
    JSshell是一个JavaScript反向Shell工具,该工具可以帮助广大研究人员远程利用XSS漏洞或扫描并发现XSS盲注漏洞。当前版本的JSshell支持在Unix和Windows操作系统上运行,并且同时支持Python2和Python3。跟JShell(一款由s0med3v开发的通过XSS漏洞获取JavaScript反向Shell的工具)相比,这是一个非常大的 ...
    2020-7-6 15:07
  • XSS跨站脚本攻击原理及代码攻防演示

    XSS跨站脚本攻击原理及代码攻防演示
    什么是XSS1.XSS原理跨网站脚本(Cross-site scripting,XSS) 又称为跨站脚本攻击,是一种经常出现在Web应用程序的安全漏洞攻击,也是代码注入的一种。XSS是由于Web应用程序对用户的输入过滤不足而产生的,攻击者利 ...
    2020-6-29 13:15
  • 最新
    返回顶部