原创 任意用戶密碼重置漏洞挖掘
第一步:登錄ceshi1賬號找到修改密碼功能抓取數據包,得知修改密碼時userid參數爲:23166 第二步登錄測試賬號2查看userid參數爲21369 第三步:登錄ceshi1賬號找到修改密碼功能抓取數據包,找到ceshi1賬號下
2020-02-22 10:53:02
原创 MongoDB數據庫未授權訪問漏洞
近日通過推獲悉“北京某監控公司的數據庫沒設置密碼,導致可隨意訪問大量公共攝像頭的視頻信息,漏洞估計還沒修復,雖然IP被打碼,只要掃描北京所有網段有未授權訪問漏洞的27017端口,存在漏洞的IP還是能找的到。實際操作也不復雜,安裝namp後
2020-02-22 10:53:02
1
原创 如何在excel表格中批量添加內容?
第一步:打開excel數據表格。 第二步:將需要設置的內容全部選中,右擊選擇設置單元格格式。 第三步:在設置單元格格式中找到自定義然後寫入要添加的內容,添加時要注意符號全爲英文格式。否則添加失敗。
2019-04-16 23:57:26
原创 win10使用軟件提示“爲了對電腦進行保護,已經阻止此應用”或軟件上面有盾牌不能正常打開軟件。
近日小編電腦崩潰,重新安裝了win10系統,在安裝win10系統時,讓你自動創建一個用戶,然後這個用戶的權限要比Administrator權限要低,所以導致如下問題: 那麼小編今天就教大家一招如何解決此問題。 第一步:右擊這臺電腦選擇“
2019-03-19 23:28:51
1
原创 支付漏洞挖掘
支付漏洞挖掘 首先註冊用戶進行登錄 然後選擇購買船票 在這個數據包中進行修改金額0.01 然後在返回上一個包在進行修改。 修改成功,進行支付。 4.支付成功。我就可以坐船了 哈哈哈
2019-02-19 21:24:03
原创 nmap測試漏洞語句
1、http 拒絕服務nmap --max-parallelism 800--script http-slowloris www.test.com 2、IIS 短文件泄露nmap -p 8080 --script http-iis-sho
2019-02-19 06:51:50
1
原创 xss測試語句
<script>alert(navigator.userAgent)<script> <script>alert(1)</script> <script>confirm(1)</script> <script>prompt(1)</scr
2019-01-09 21:34:11
原创 常用的安全漏洞修復建議
SQL注入漏洞描述通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令。將(惡意的)SQL命令注入到後臺數據庫引擎執行的能力,它可以通過在Web表單中輸入(惡意)SQL語句得到一個存
2018-08-24 21:10:19
2
原创 XSS和CSRF區別?
XSS原理: 根本我個人理解XSS又叫CSS(Cross-SiteScripting跨站腳本攻擊)爲了不和css層疊樣式表混淆,所以改成了XSS。XSS是將惡意的代碼插入到html頁面中,當用戶瀏覽頁面時,插入的html代碼會被執
2018-08-24 21:10:19
原创 SQL注入剖析
SQL注入剖析 什麼是SQL注入:SQL注入攻擊(SQL Injection),簡稱注入攻擊,SQL注入是web開發中最常見的一種安全漏洞。 SQL注入漏洞可以用來從數據庫獲取敏感信息,或者利用數據庫的特性執行添加用戶,導出文件等一系列
2018-08-24 21:10:19
原创 越權漏洞分享
1)風險描述: 越權訪問,這類漏洞是指應用在檢查授權(Authorization)時存在紕漏,使得攻擊者在獲得低權限用戶帳後後,可以利用一些方式繞過權限檢查,訪問或者操作到原本無權訪問的高權限功能。目前存在着兩種越權操作類型:橫向越權操作
2018-08-24 21:10:19
原创 看手相測運氣分析報告
看手相測運氣分析報告這幾天看朋友圈裏有發看手相測運氣動態,處於好奇,套路一波。第一步:加好友。第二步、提供給他需要的信息。提供後他讓你轉發或者宣紅包打賞。發朋友圈(抓住了人的弱性,一定會選擇免費然後進行下一步操作)打賞成功——(綠燈直接通
2018-08-24 21:10:19
1
原创 html學習文檔總結
定義:超文本標記語言,標準通用標記語言下的一個應用。包括“頭”部分(英語:Head)、和“主體”部分(英語:Body),其中“頭”部提供關於網頁的信息,“主體”部分提供網頁的具體內容。 1、基本結構: 1.<title>:描述網頁
2018-08-24 21:10:18
3