1.SQL注入:SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击,动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。比如: 如果你的查询语句是select * from account where username='"user"' and password='"pwd"'" 那么,如果输入的用户...
转载
2023-05-10 14:41:56
55阅读
信息安全之Web安全 如何改变网页上的标签 眼见不一定为真,就算是某正牌的官网,所发布的消息也一定要核实。 下面演示一下如何更改网页上的内容。 首先右击鼠标,选择“检查”,在一下任务栏中,我们可以查看和改变网页上的内容。(红框内都是更改后的信息) Element:主要是用来调试网页中的html标签代
转载
2020-06-09 17:54:00
593阅读
2评论
信息收集 前言:在渗透测试过程中,信息收集是非常重要的一个环节,此环节的信息将影响到后续成功几率,掌握信息的多少将决定发现漏洞的机会的大小,换言之决定着是否能完成目标的测试任务。也就是说:渗透测试的思路就是从信息收集开始,你与大牛的差距也是这里开始的。 Part1:信息收集-架构、搭建、WAF等 # ...
转载
2021-08-28 19:08:00
681阅读
2评论
[Web安全]信息收集信息收集域名信息的收集网站指纹识别整个网站的分析主机扫描、
原创
2022-04-30 22:54:44
253阅读
信息收集前言:在渗透测试过程中,信息收集是非常重要的一个环节,此环节的信息将影响到后续成功几率,掌握信息的多少将决定发现漏洞的机会的大小,换言之决定着是否能完成目标的测试任务。也就是说:渗透测试的思路就是从信息收集开始,你与大牛的差距也是这里开始的。Part1:信息收集-架构、搭建、WAF等# CMS识别技术网上有现成的CMS识别平台# 源码获取技术# 架构信息获取# 站点搭建分析搭建习惯-目录型
转载
2021-08-28 19:08:00
400阅读
2评论
web安全——隐藏版本信息以命令curl -I www.google.com 查看结果如何:HTTP/1.1 302 FoundCache-Control: privateLocation: http://sorry.google.com/sorry/?
原创
2021-09-07 16:34:38
300阅读
漏洞的机会基于web域名结构Layer子域名挖掘机,不带www.
原创
2022-10-27 01:11:51
84阅读
为什么学习这节课程在划定了测试范围之后,就需要进入信息收集阶段。在这个阶段,渗透人员需要使用各种公共资源尽可能地获取测试目标的相关信息。他们从互联网上搜集信息的渠道主要有:论坛、公告板、新闻组、媒体文章、博客、社交网络、其他商业或非商业性网站、GitHub 等此外,他们也可以借助各种搜索引擎中获取相关数据,如谷歌、雅虎、MSN 必应、百度等。收集信息主要包括 DNS 服务器、路由关系、whois
原创
2022-03-28 10:29:03
412阅读
为什么学习这节课程在划定了测试范围之后,就需要进入信息收集阶段。在这个阶段,渗透人员
原创
2022-08-02 10:03:58
61阅读
1.1. 漏洞介绍
由于网站管理员运维不当,可能会将备份文件、数据库配置文件等敏感文件存放在WEB目录下公开访问,攻击者可以轻松地访问这些敏感文件,从而了解系统的配置细节、密码信息、数据库凭据等重要数据,扩大的攻击面。
这种泄漏敏感信息的情况就属于信息泄漏漏洞。
1.2. 漏洞发现
主要以目录扫描为主,可参考目录扫描,其次以观察或者正则表达式辅助为主。
1.3. 漏洞分类
1.3.1. 高风险
原创
2023-05-30 15:19:07
320阅读
煮酒品茶:针对上章的刺探来获取信息而进行防御,并没有写具体的方法防,这东西谷歌一下一大把,所以可以先在测试环境上试试。
1、简单的Ping获取操作系统信息:
防方法:禁PIng
2、扫描端口,之后telnet一下基本上就会告诉你什么服务。或者说根据端口号来进行PD。或许对其相关服务的漏洞进行非法活动。
防方法:对外公开只能公开的端口,如只开放80
原创
2012-06-19 15:58:24
3214阅读
点赞
1评论
摘要 Nginx作为开源web中间件,被广泛应用。因此源编译或者yum安装,都会带有其原有的nginx版本。很容易被针对,因此,通过修改nginx的源码。隐藏nginx版本和头部信息,保障nginx的安全。操作如下: 1.修改nginx.h文件 位置为:/nginx-1.20.0/src/core ...
转载
2021-10-11 14:23:00
479阅读
2评论
#----------------------------------------------------------#
# ====> 红色字体 -特指煮酒个人所见。加粗则为需要重点注意。 #
# ====> 蓝色加粗 -特指与本文相关人员,包括参与修正的朋友。 #
# ====> 煮酒品茶 -Http://cwtea.
推荐
原创
2012-06-05 16:02:56
6811阅读
点赞
4评论
原文链接:http://www.baimaoxueyuan.com/course/index/video/id/34/lesson/186
感谢红亚,让安全更普及。
明天下班后学习计划:http://www.baimaoxueyuan.com/course/index/video/id/34/lesson/187
原创
2015-09-22 00:00:28
666阅读
简介在进行网络安全评估和渗透测试时,DNS(Domain Name System)信息收集是一个至关重要的环节。通过获取目标域名的 DNS 信息,渗透测试人员可以获得有关目标系统的关键信息,为后续攻击策略制定提供基础。本文将深入介绍 DNS 信息收集的方法和工具,以帮助安全专业人员和渗透测试人员更好地理解和利用目标系统。为什么 DNS 信息收集很重要?DNS 是互联网中的“地址簿”,负责将域名映射
原创
精选
2023-12-13 15:18:15
663阅读
点赞
点击蓝字关注小安前言信息化已经深入国家行政机关、企事业实际业务之中,下属机构通过信息系统服务接口,定期向上级
原创
2021-09-17 14:57:33
82阅读
点击蓝字关注小安前言信息化已经深入国家行政机关、企事业实际业务之中,下属机构通过信息系统服务接口,定期向上级
转载
2021-09-17 13:58:59
188阅读
搜索引擎信息搜索引擎,就是根据用户需求与一定算法,运用特定策略从互联网检索出指定信息反馈给用户的一门检索技术。搜索引擎依托于多种技术,如网络爬虫技术、检索排序技术、网页处理技术、大数据处理技术、自然语言处理技术等,为信息检索用户提供快速、高相关性的信息服务。通过搜索引擎可以得到目标相关的信息Google搜索语法由于搜索引擎的原理是一样的,区别在于数据库的大小,国内是无法访问google,我们访问国
原创
精选
2022-08-18 09:20:08
1094阅读
