原创 WebGoat -- AJAX Security
0xx3 AJAX Security(Ajax安全性) Same Origin Policy Protection(同源政策保護) 依次向URL框框中輸入以下網址(也可以直接點擊下方鏈接),觀察發現,只能訪問同一數據資源,非同源訪問失敗
2019-03-12 01:43:28
23
原创 WebGoat--general+Access Control Flaws
WebGoat是基於WEB實驗漏洞的Java靶場程序,跨站點腳本攻擊(XSS),訪問控制,線程安全,操作隱藏字段,操縱參數,弱會話cookie,SQL盲注,數字型SQL注入,字符串型SQL注入,web服務、Open Authenticat
2019-03-10 03:38:28
3
原创 認識OwaspZAP
0xx1 設置 使用owasp-zap首先需要將zap生成證書,然後保存在本地 打開瀏覽器,將證書導入,並設置代理 0xx2 使用 owasp-zap包含四種掃描模式 safe mode 發現漏洞的數量最少,不會
2019-03-07 18:09:01
62
原创 OWASP-安裝
0xx1 安裝 下載 https://sourceforge.net/projects/owaspbwa/files/選擇合適的版本下載 下載完成後解壓縮,然後用VMware虛擬機打開即可 0xx2 使用 OWASP Br
2019-03-07 18:09:01
8
原创 PowerShell滲透--PowerSploit(WEB安全攻防)
PowerSploit是基於PowerShell的後滲透框架,包含很多PowerShell攻擊腳本,主要用於滲透中的信息偵查,權限提升,權限維持,github地址爲:github.com/PowerShellMafia/
2019-03-03 16:15:26
45
原创 後滲透工具 – Meterpreter(WEB安全攻防)
0xx1 後滲透工具 – Meterpreter 優勢 純內存工作模式,不需要對磁盤進行任何寫入操作 使用加密通信協議,並且可以同時與幾個信道通信 在被攻擊進程內工作,不需要創建新的進程 易於在多進程之間遷移 平臺通用 0xx2 進程遷移
2019-03-03 16:15:26
原创 PowerShell簡介(WEB安全攻防)
0xx1 PowerShell技術 常用的PowerShell攻擊工具 PowerSploit PowerShell後期漏洞利用框架,常用於信息探測,特權提升,憑證竊取,持久化等操作 Nishang 基於PowerShell的滲透
2019-03-03 16:15:26
原创 實戰--MS17_010滲透內網主機
0xx1 環境搭建 目標主機 Win7電腦,包括三個用戶,其中,兩個Administrator組,一個User組,IP地址-- 10.238.207.38,用戶jhon,001爲管理員權限,002爲用戶權限,其他用戶已禁用 滲透系統
2019-02-28 17:49:45
6
原创 Metasploit基礎(WEB安全攻防讀書筆記)
0xx1 Metasploit基礎 Auxiliaries(輔助模塊) 不會在測試者和目標主機之間建立訪問,只負責進行掃描,嗅探,指紋識別等相關功能輔助滲透 Exploit(漏洞利用模塊) 漏洞利用是指由滲透測試者利用一個系統,應用或服務
2019-02-28 17:49:45
原创 CSRF+SSRF(WEB安全攻防讀書筆記)
0xx1 CSRF 簡介 SRF(跨站請求僞造),也被稱爲One Click Attack 或Session Riding 通常縮寫爲CSRF 或 XSRF,是一種網站的惡意利用,通過僞裝成受信任用戶請求受信任網站進行攻擊 原理 利用目標
2019-02-27 17:56:35
3
原创 文件上傳(WEB安全攻防讀書筆記)
0xx1 文件上傳漏洞 產生原因 上傳文件時,服務端代碼沒有對客戶端上傳的文件進行嚴格的驗證和過濾,就容易造成可以上傳任意文件的漏洞包括asp,php,jsp等 危害 非法用戶利用上傳的惡意腳本文件控制整個網站甚至控制服務器,這個惡意文件
2019-02-27 17:56:35
原创 命令執行(WEB安全攻防讀書筆記)
0xx1 命令執行 介紹 應用程序有時需要調用一些執行系統命令的函數(如PHP中,使用system, exec,shell_exec,passthru等),當這些函數黑客可控時,就可以將惡意的系統命令拼接到正常命令中,從而造成命令執行攻擊
2019-02-27 17:56:24
原创 邏輯漏洞(WEB安全攻防讀書筆記)
0xx1 邏輯漏洞 介紹 指攻擊者利用業務的設計缺陷,獲取敏感信息或破壞業務的完整性,一般出現在密碼修改,越權訪問,密碼找回,交易支付金額等功能處,其中,越權訪問又有水平越權和垂直越權兩種 水平越權:相同級別(權限)的用戶或者同一角色中
2019-02-27 17:56:24
原创 XSS基礎(WEB安全攻防讀書筆記)
XSS基礎 XSS介紹 跨站腳本簡稱XSS,跨站腳本或跨站腳本攻擊,是一種針對網站應用的安全漏洞應用攻擊技術,是代碼注入的一種,他允許惡意用戶將代碼注入網頁,其他用戶瀏覽此網頁就會受到影響 XSS攻擊分爲三種: 反射型,存儲型和DOM型
2019-02-27 17:56:24
原创 暴力破解(WEB安全攻防讀書筆記)
0xx1 暴力破解 介紹 暴力破解的產生是由於服務器端沒有做限制,導致攻擊者可以通過暴力手段破解所需信息(如用戶名,密碼,驗證碼等),暴力破解需要一個強大的字典 漏洞攻擊 在登陸頁面輸入賬號密碼登陸,然後使用burpsuite抓包 選擇
2019-02-27 17:56:24