互联网上的WEB程序需要大量的安全机制来防御攻击。安全机制主要有:①处理用户的访问WEB的功能和数据,防止未授权访问。②处理用户的输入,防止用户的错误输入对程序造成影响。 版权声明 本站文章、图片、视...
Continue reading...网络攻防
局域网内网关欺骗获取网站密码
如果不了解网关是什么, 请百度之。 局域网内通信都是通过mac地址来识别不同的主机的, 版权声明 本站文章、图片、视频等(除转载外),均采用知识共享署名 4.0 国际许可协议(CC BY-NC-SA ...
Continue reading...网路基础(二)浏览器cookie
当我们用浏览器上网时,向远程的web服务,发送各请求,远程的web服务器接收我们发送的请求,再把处理结果发送给我们,简单说来这就是B/S (浏览器/服务器)结构。我们在浏览网站时,web服务器会在我们...
Continue reading...跨站点脚本(xss)解析(三)利用xss漏洞
1、利用xss漏洞,攻击者可以调用被攻击者本地的程序(IE下)。一段xss攻击载荷:<script> var o=new ActiveXObject(‘WScript.shell’); o...
Continue reading...跨站点脚本(xss)解析(二)保存型xss漏洞
保存型xss漏洞意思是用户A提交的数据没有经过过滤,就保存在web程序中(通常是数据库中),然后直接展示给其他用户。 这样如果数据中有恶意的代码,就会在用户的浏览器中直接执行。 版权声明 本站文章、图...
Continue reading...跨站点脚本(xss)解析(一)反射型xss漏洞
跨站点脚本(xss)即:cross site script, 也经常存在于web程序中,它是往web页面中插入代码html语句、js语句等。如果服务器端没有对其进行过滤,当用户浏览该网页时...
Continue reading...sql注入解析(四)避开过滤
web应用程序会对用户的输入进行验证,过滤其中的一些关键字,这种过滤我们可以试着用下面的方法避开。 版权声明 本站文章、图片、视频等(除转载外),均采用知识共享署名 4.0 国际许可协议(CC BY-...
Continue reading...sql注入解析(三)数据库类型
mysql、mssql和oracle数据库都有自己特有的一些命令,我们可以根据它们确定我们要注入的数据库类型。 版权声明 本站文章、图片、视频等(除转载外),均采用知识共享署名 4.0 国际许可协议(...
Continue reading...sql注入解析(二)执行注入
sql注入解析(一)https://www.yeetrack.com/wordpress/?p=20探查程序是否存在sql注入漏洞:利用字符串数据:1、提交一个单引号,观察是否处理出错。2、提交两个单...
Continue reading...sql注入解析(一)基本语法
sql注入是代码注入的一种,也是最流行、破坏性较高的一种。前几年sql注入很流行,现在的网站一般都是直接基于框架搭建,参数传递,sql注入一般很隐蔽了,不容易找;但是一些学校、政府和小型网站sql注入...
Continue reading...Backtrack命令解析(Vulnerability assessment)
1. Nikto: /vulnerability assessment/web application assessment/web vulnerability scanners &nbs...
Continue reading...Backtrack 命令解析(information gathering)
1、 Dnstracer:information gathering/networkanalysis/dns analysis 用来探测解析目标域名的dnsserver。 dnstracer www....
Continue reading...
近期评论