- 博客(8)
- 收藏
- 关注
RSS订阅原创 Web安全 -- CVE-2016-10033漏洞
引言CVE-2016-10033漏洞背景独立研究人员Dawid Golunski发现该漏洞—远程攻击者利用该漏洞,可实现远程任意代码在web服务器上执行,并使web应用陷入威胁中。攻击者主要在常见的web表单如意见反悔表单、注册表单中 ,邮件密码重置表单等使用发送的组建时利用此漏洞。漏洞影响的版本PHPMailer < 5.2.18环境搭建模拟如图网络环境web服务器配置web服务器的系统为cent
2017-12-10 11:25:10
3966
原创 Web安全 -- CSRF漏洞
序言今天继续给大家讲前端漏洞,今天介绍的是csrf这个漏洞与xss漏洞的恩怨情仇,别看这两个漏洞只差几个字符,但他们的区别可是天差地别。Csrf漏洞CSRF(Cross-site request forgery)跨站请求伪造:也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XS
2017-12-10 11:24:36
729
原创 Web安全 -- BurpSuite实战(上)
burp简介Burp Suite是Web应用程序测试的最佳工具之一,可以对请求的数据包进行拦截和修改,扫描常见的web安全漏洞,暴力破解登录表单、遍历数据等等。Burp所需环境Burp Suite是Java编写的,所以在使用前需要安装Jdk环境,这里不进行具体讲解如何安装jdk,安装完成后将jdk相关目录添加到环境变量中。主要功能首先,我们看下burp都有哪些功能,并且都是用来做什么的。proxy
2017-12-10 11:24:08
1473
原创 Web安全 -- XSS漏洞
前言这是渗透测试方面的第一课,我们跳过了社工技术的讲解,在之前的课程讲解中已经为大家介绍了社工技术的基本方法,对于社工,我们要做的就是足够细心和耐心,尽可能的收集可利用的信息,说起来很简单,但真正落到实际操作上就需要大家付出大量的时间和精力了。前端漏洞随着WEB应用越来越复杂,用户对WEB安全也越来越重视。再加上前端工程师的工作面已逐渐扩大,开始覆盖到各种业务逻辑,因此如何应对各种WEB安全问题就显
2017-12-10 11:23:28
771
原创 Web安全 -- 前言(续)
双十一来了,团队也在想着为大家搞点福利。所以特约好朋友给大家开几期渗透测试课程。此次课程基本上就是利用自己搭建靶场和编写靶场,给大家进行讲解。大佬已经有着非常丰富的渗透测试经验,必定会把套路传给大家。明天启程系列课程也会进行更新,视频文章同时出,由于上节课程听朋友们普遍反映声音比较低,就没有进行外放,这次老师会把上一节课程全部补上,在进行全部外放。 福利:2篇技术文章+2个视频社工技术社会工程
2017-12-10 11:22:39
792
原创 Web安全 -- 信息收集(下)
1、whois查询网站及服务器信息如果知道目标的域名,你首先要做的就是通过Whois数据库查询域名的注册信息,Whois数据库是提供域名的注册人信息,包括联系方式,管理员名字,管理员邮箱等等,其中也包括DNS服务器的信息。 默认情况下,Kali已经安装了Whois。你只需要输入要查询的域名即可: 利用以上收集到的邮箱、QQ、电话号码、姓名、以及服务商,可以针对性进行攻击,利用社工库进行查找相关管理
2017-12-10 11:21:43
1991
原创 Web安全 -- 信息收集(上)
为了更好服务大家在课程中遇到问题,每期我们都会进行一些问题交流和解答。启程2班人额现在已满,请加启程3班-工具系列。如果在看视频过程中,遇到相关问题,可以在论坛(http://bbs.sec-redclub.com/hr/forum.php?mod=viewthread&tid=32&extra=page%3D1)进行提问,相关贴主会对问题进行解答。或者直接加群进行讨论。由
2017-12-10 11:20:47
3116
原创 Web安全 -- 前言介绍
红日安全随着安全界的发展,业内也有很少的公开课,红日安全团队经过慎重的决定为大家讲一场基础系列的公开课, 对于红日安全,很多人可能都不熟悉,但是希望通过这次的公开课可以给大家带来收获。通过近期业内小伙伴提供的需求,本次 安全公开课代号启程。寓意在这里、从现在做一个新的起点。 本次培训为红日安全团队制作一个攻防系列课程,本意是希望没有任何基础小白也可以启程。
2017-12-10 11:18:28
673
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人