原创 關於等保安全通用要求和安全擴展性要求
由於等級保護對象承載的業務不同,對其的安全關注點會有所不同,有的更關注信息的安全性,即更關注對搭線竊聽、假冒用戶等可能導致信息泄密、非法篡改等;有的更關注業務的連續性,即更關注保證系統連續正常的運行,免受對系統未授權的修改、破壞而
2020-06-23 04:02:47
原创 等保三級安全要求
第三級安全保護能力:應能夠在統一安全策略下防護免受來自外部有組織的團體、擁有較爲豐富資源的威脅源發起的惡意攻擊、較爲嚴重的自然災害,以及其他相當危害程度的威脅所造成的主要資源損害,能夠及時發現、監測攻擊行爲和處置安全事件,在自身遭
2020-06-14 14:52:16
原创 滲透相關問題(3)
1.sql注入繞過的方法? 註釋符號繞過、大小寫繞過、內聯註釋繞過、雙寫關鍵字繞過、特殊編碼繞過、寬字節繞過。 2.WAF常用的類型? 硬件設備類型、軟件產品類型、基於雲的WAF。 3.sql注入漏洞防禦方法? 代碼層面:對輸入進
2020-06-14 14:52:16
原创 滲透測試——SQL注入
1.sql 注入原理 SQL 注入就是指 web 應用程序對用戶輸入的數據合法性沒有過濾或者是判斷,前端傳入的 參數是攻擊者可以控制,並且參數帶入數據庫的查詢,攻擊者可以通過構造惡意的 sql 語句來 實現對數據庫的任意操作。 舉
2020-06-14 14:52:16
原创 等保二級安全要求
第二級安全保護能力:應能夠防護免受來自外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災害,以及其他相當危害程度的威脅所造成的重要資源損害,能夠發現重要的安全漏洞和處置安全事件,在自身遭到損害後,能夠在一段事件內恢復
2020-06-14 14:52:16
原创 sqlmap詳細使用介紹
SQLmap介紹 sqlmap是一個自動化的SQL注入工具,其主要功能是掃描,發現並利用給定的URL進行SQL注入。目前支持的數據庫有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB
2020-06-14 14:52:16
原创 滲透相關問題(二)
1.報錯注入原理是什麼? 由於後臺沒有對數據庫的信息做過濾,會輸出到前臺顯示,那麼我們就可以利用製造報錯函數,將查詢語句帶入到數據庫中,以報錯信息顯示出來,一般是不以網頁標籤和xpath的路徑格式來製造報錯。 2.常用哪些函數來製
2020-06-14 14:52:16
原创 webshell與文件上傳漏洞
webshell介紹 web指的是在web服務器上,而shell是用腳本語言編寫的腳本程序,WebShell是一種用來進行網站和服務器管理的腳本程序,webshell一般是被網站管理員用於網站管理、服務器管理等等一些用途,但是由於
2020-06-14 14:52:16
原创 等保四級安全要求
第四級安全保護能力:應能夠在統一安全策略下防護免受來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊、嚴重的自然災害,以及其他相當危害程度的威脅所造成的資源損害,能夠及時發現、監測發現攻擊行爲和安全事件,在自身遭到損害
2020-06-14 14:52:16
原创 SQL注入——搜索型注入
搜索型注入原理 語句如下:SELECT*from database.table where users like ‘%要查詢的關鍵字%’。這裏“%”匹配任何字符,“like”的意思就是像。比如我們在搜索框輸入關鍵字“李”,那麼SQ
2020-06-14 14:52:16
2
原创 CSRF和SSRF漏洞
CSRF漏洞簡介 CSRF(Cross-Site Request Forgery,跨站點僞造請求)是一種網絡攻擊方式,該攻擊可以在受害者毫不知情的情況下以受害者名義僞造請求發送給受攻擊站點,從而在未授權的情況下執行在權限保護之下的
2020-06-14 14:52:16
原创 堆疊查詢注入攻擊
堆疊注入原理及介紹 Stacked injections:堆疊注入。從名詞的含義就可以看到應該是一堆sql語句(多條)一起執行。而在真實的運用中也是這樣的,我們知道在mysql中,主要是命令行中,每一條語句結尾加 ; 表示語句結束
2020-06-14 14:52:16
原创 等保一級安全要求
第一級安全保護能力:應能夠防護免受來自個人的、擁有很少資源的威脅源發起的惡意攻擊、一般的自然災難,以及其他相當危害程度的威脅所造成的關鍵資源損害,在自身遭到損害後,能夠恢復部分功能。 1安全通用要求 1.1安全物理環境 1.1.1
2020-06-14 14:52:16
原创 滲透測試——cookie注入
1.cookie注入原理 Cookie最先是由Netscape(網景)公司提出的,Netscape官方文檔中對Cookie的定義是這樣的: Cookie是在HTTP協議下,服務器或腳本可以維護客戶工作站上信息的一種方式。 Cook
2020-05-25 19:51:34
2
原创 滲透測試——二次注入攻擊
二次注入漏洞是一種在Web應用程序中廣泛存在的安全漏洞形式。相對於一次注入漏洞而言,二次注入漏洞更難以被發現,但是它卻具有與一次注入攻擊漏洞相同的攻擊威力。 二次注入原理 二次注入可以理解爲,攻擊者構造的惡意數據存儲在數據庫後,惡
2020-05-25 19:51:34