- 博客(11)
- 收藏
- 关注
RSS订阅原创 sql注入原理、分类、预防
原理:sql注入是因为后台SQL语句拼接了用户输入的恶意数据,而web应用没有对输入的数据合法性进行判断和过滤。攻击者可以通过构造不同SQL语句来实现对数据库的任意操控,例如进行增删改查等操作。分类:一、...
2021-03-08 22:36:10
667
原创 绕过disable_functions限制
作用:运维人员通过disable_functions函数来禁用一些在PHP中的一些“危险”函数,将其卸载php.in配置文件中。例如:passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,papen,ini_alter,ini_restore,dl,openlog,readlink,symlink,popepassthru,link等。其实disable_function函数也就是一种黑名单限制机制
2021-02-09 19:27:15
1024
原创 WAF防护原理和绕过姿势
什么是WAF:定义:web应用防火墙(Web Application Firewall),通过执行一系列针对HTTP/HTTPS的安全策略来防御对web应用的攻击。WAF的种类:源码防护: 程序员在开发时使用过滤函数对恶意代码进行过滤。对于这类的绕过思路主要是大小写替换、编码绕过、截断等方式,只要在代码中找到过滤函数就比较容易绕过。软件WAF:主要通过访问速度、指纹识别等特征进行拦截,软件WAF侧重拦截WEB漏洞。主要有安全狗、云锁等 硬件WAF:主流防御流量和部分WEB攻击...
2021-01-28 16:16:08
1442
1
转载 网络安全—XSS漏洞
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是攻击者往Web页面或者URL里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入的内容没有过滤,那么当正常用户浏览该网页的时候,嵌入在Web页面里的恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的目的。一、XSS漏洞出现的两个条件1、可能控制的输入点2、输入能返回到前端页面上被浏览器当成脚本语言解释执行二、XSS危害cookie窃取会话劫取键盘记录客户端信息探查网页.
2020-09-29 15:24:09
739
转载 网络安全入门基础须知
风险评估1)渗透测试技术:踩点扫描探测、信息收集、暴力解决、漏洞扫描、Web权限获取、Web提权、溢出攻击、植入后门、内网渗透等。2)安全漏洞的代码审计和代码加固技术:缓冲区溢出、拒绝服务、远程命令执行、注入、跨站、Web提权。
2020-06-09 22:58:00
339
原创 面试常见问题之OWASP top10
最近找工作浏览时,发现好多安全渗透岗的工作要求中有提到熟悉OWASP top 10这点,特意上网搜了下发现有好多关于这方面介绍,因此总结了一下,同时也分享给大家。OWASP top 10是什么?首先介绍下OWASP,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个非营利组织,不附属于任何企业或财团,它提供有关计算机和互...
2020-05-05 21:24:25
1964
1
原创 mysql数据库注入时常用函数
本文主要是归纳总结了一些数据库使用时一些就比较常用的数据库基础函数命令,分享给大家一起学习使用常用函数1.返回当前使用数据库的用户user()/system_user()/current_user()/session_user()2. 返回当前数据库的版本version()/@@version3. 返回当前使用数据库database()4. 返回当前数据库所在位置@@datadi...
2020-05-05 15:26:35
414
原创 VMware虚拟机中安装win10步骤及所遇到的问题
虚拟机中安装win10所遇到的2个主要问题:没有可用的映像对于这个问题主要是因为你在选择镜像时,选择的是第一项或者第二项,导致在安装时系统会自动生成一个软盘,这个你可以在设置中查看到,就是因为这个导致下面这个故障的原因,解决的办法就是选择第三项“稍后安装系统”,具体步骤可以看我下面的具体步骤。找不到CD或者DVD在查找DVD时,跳出蓝屏一样的,解决方法时选择我下面选中的选项...
2020-04-19 23:50:39
15090
1
原创 IIS介绍及安装步骤
IIS是Internet Information Services的缩写,中文译为互联网信息服务。它是一种Web(网页)服务组件,其中包括Web服务器、ftp服务器、NNTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它的出现使得网络中发表信息变得十分容易。 今天主要是介绍Windows2003版的安装步骤:第一步就是打开 开始 按键,找到一...
2019-12-12 23:44:33
1897
原创 Windows基础命令(一)
(1)、文件/目录操作 1、tree 显示目录结构 例:tree d:\myfiles // 显示d:\myfiles目录结构 2、ren(rename) 文件或目录重命名 例:ren rec.txt rec.ini // 将当前目录下的rec.txt文件重命名为rec.ini 例:ren c:\test test_01...
2019-12-09 22:15:48
1234
原创 linux常用的基础命令
etho 命令用于在终端显示字符串或变量,格式为:”echo[字符串|变量]"。date 命令用于显示/设置系统的时间或日期,格式为:“deat[选项]+[+指定的格式]"。reboot 命令用于重启系统(仅root用户可以使用),格式:”reboot“。wget 命令用于使用命令行下载网络文件,格式为:”wget[参数]下载地址"。elinks 用于实现一个纯文本界面的...
2019-12-01 20:18:20
169
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人