XSS实战:我是如何拿下你的百度账号(图)

  XSS漏洞想必很多行内人士都有所耳闻,这次我要分享的挖洞经历也是非常的意外。  很多时候自己随手播种下的xss代码,有可能会在某一天神奇的带给你惊喜。  这里不会讲XSS的基础知识,但是会通过一个真实的案例带你挖掘百度网盘的一个存储型XSS漏洞,...

Web 应用程序常见漏洞 CSRF 的入侵检测与防范(图)

  互联网的安全问题一直存在,并且在可预见的未来中没有消弭的迹象,而在软件开发周期中,加入对产品安全问题的检测工作,将极大的提升对应安全问题解决的成本,对维护一个好的产品形象至关重,在竞争愈烈的网络应用产品中的生命力也将更长。本文要介绍的...

你真的会SQL注入攻击吗?(上)(图)

  作者在网络上看过无数的关于手工注入的讲解  却没有一个真正完整把原理说清楚的文章,直接就是附上爆库、爆表的语句,甚至也没有详细说过任何一个Mysql函数的概念。  sqlmap语句滚瓜烂熟。这也间接的导致了现在许多人只会学不会造,永远都在求绕过...

分享:

用 NMAP 探测操作系统(图)

  有时,能够知道一个网络里的机器的操作系统(OS)是有一定好处的。当你知道一台机器的操作系统后,因为你可以在网上搜索专门针对该系统的安全漏洞,所以入侵系统也会更加容易。当然,安全漏洞通常都会很快被修补,但安全漏洞存在时你需要知道。  对你...

一个人的企业安全建设之路(图)

  前言  如今很多中小型互联网公司对安全需求不高,安全资源贫乏,领导只重视业务忽略安全,在这种情况下可能安全人员很难立足,推动公司做好安全,从而进入了进退两难的窘境,目前从事国内某车联网公司,公司团队在300人左右,生产服务器数量在千余台...

extentReport 生成测试报告(图)

  之前在使用extentReport生成测试报告的时候,没有加载到相关的css,经检查为下面两个文件没有正确加载。  后改变配置,加载本地的css和js文件,目前测试报告正确显示  1.创建TestNg的Report监听器,实现方法:  private void init() {    ...

20款安全测试工具为程序安全保驾护航

  针对安全性测试的工具非常多,慧都小编主要推荐20款,非常实用的安全测试工具,希望能帮到大家。  Babel Enterprise  Babel Enterprise 是一款企业级的安全监控平台,可以检查OS安全状态:用户名/密码、内核选项、文件权限、补丁、网络设置、SUID、...

渗透测试学习笔记之案例(图)

  0x00 前言  很久没有更新博客了,主要是因为工作很忙,写博客也太耗时间了。但是突然发现,许久不写很多东西都快生疏了。因而决定从今天起开始写一些跟渗透测试相关的文章,也可以认为是学习笔记吧,留作日后的技术积累和参考吧。  0x01 案列分析 ...

#
Linux
#
NMAP
分享:

使用Nmap扫描系统风险点(图)

  0x00 迅速了解Nmap  Nmap是一款扫描目标网络信息的工具,可以是黑客用来探测主机信息,收集情报的神器。也可以是运维人员扫描网络环境,及时发现系统漏洞的好帮手。  0x01 它的功能  1、主机发现(Host Discovery)#探测目标网络环境中有哪些主机...

#
NMAP
分享:

Web安全测试——威胁攻防(图)

  SQL注入  部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入  案例  HTTP://xxx...

转型安全测试,快速入手攻略

  把大象装进冰箱需要四步。  第一步,阅读安全测试的书籍。  推荐阅读下:  《Web安全测试》(Paco Hope,Ben Waltller)【摘要 书评 试读】  《模糊测试—强制性安全漏洞发掘 (美)斯顿(Sutton,M);黄陇,于莉莉,李虎 机械工业》【摘要 书评 试读】...

Nmap使用入门

  Nmap是一款强大的网络扫描工具,可扫描网段内主机的port、服务、service,支持多种协议、多种扫描方式的工具。在排查网络问题中,也是常用的工具之一。简单总结了一些常用参数选项,用于日后使用  常用扫描:  # nmap -Pn $IP  # nmap -A -T4 $I...

#
NMAP
分享:

CSRF漏洞的利用与学习(图)

  CSRF的原理  发现漏洞可利用处->构造(搭建)搭建代码->发送给用户(管理员)->触发代码(发送请求)………  从这个利用的一个流程中,我们可以发现,攻击者仅仅只是做了两处工作.第一处是:发现漏洞利用处,,第二处就是构造利用代码以及发送至用...

Nmap脚本引擎原理(图)

  一、NSE介绍    虽然Nmap内嵌的服务于版本探测已足够强大,但是在某些情况下我们需要多伦次的交互才能够探测到服务器的信息,这时候就需要自己编写NSE插件实现这个功能。NSE插件能够完成网络发现、复杂版本探测、脆弱性探测、简单漏洞利用等功能。...

#
NMAP
分享:

用外部设备录制脚本(手机端应用、app、微信等)进行安全测试(图)

  一、打开AppScan,选择外部设备/客户机,点击下一步。  二、记录代理设置,可以手动输入需要的端口号,也可以自动选择,记住端口号以及PC电脑的ip地址  三、SSL证书,点击下一步  四、登陆管理,点击下一步,  选择“是”

XSStrike:基于Python的XSS测试工具(图)

  简介  XSStrike是一款用于探测并利用XSS漏洞的脚本  XSStrike目前所提供的产品特性:  对参数进行模糊测试之后构建合适的payload  使用payload对参数进行穷举匹配  内置爬虫功能  检测并尝试绕过WAF  同时支持GET及POST方式  大多数pa...

#
XSS
分享:

nmap 扫描原理与用法

  Nmap扫描原理与用法  1、Nmap介绍  Nmap扫描原理与用法PDF:下载地址  Nmap是一款开源免费的网络发现(Network Discovery)和安全审计(Security Auditing)工具。软件名字Nmap是Network Mapper的简称。Nmap最初是由Fyodor在1997年开始创建的。随...

#
NMAP
分享:

nmap命令——基础用法

  探测主机存活常用方式  (1)-sP :进行ping扫描  打印出对ping扫描做出响应的主机,不做进一步测试(如端口扫描或者操作系统探测):  下面去扫描10.0.3.0/24这个网段的的主机  nmap-sP10.0.3.0/24  这个命令可以用于探测局域网有哪些机器  ...

#
NMAP
分享:

Django进阶之CSRF的解决办法(图)

  简介  django为用户实现防止跨站请求伪造的功能,通过中间件 django.middleware.csrf.CsrfViewMiddleware 来完成。而对于django中设置防跨站请求伪造功能有分为全局和局部。  全局:  中间件 django.middleware.csrf.CsrfViewMiddleware  局部...

#
CSRF
分享:

XSS攻击简单介绍(图)

  一、XSS简介  XSS攻击全称跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的...

分享到朋友圈
打开微信,点击底部的“发现”,
使用“扫一扫”即可将网页分享至朋友圈。

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号