鉴于读者可能对SQL注入漏洞缺少概念,所以,我们会将SQL注入漏洞与XSS漏洞对比着来讲解。1.SQL注入概念的解释首先,我们来认识一下与SQL注入漏洞有关的Web浏览器的相关工作原理,然后,我们会解...
知己知彼,百战不殆 :为大家精选一份WEB信息/资产收集相关的文章(上)
知己知彼,百战不殆。在WEB实战渗透中,信息收集,资产收集至关重要。所收集到的信息,资产决定了最后成果的产生。信息收集个人理解更偏向于单一系统下组件,指纹等常规信息的收集,整合。资产收集则更偏向于针对...
技术研究 | 绕过WAF的常见Web漏洞利用分析
前言本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法,希望能起到抛砖引玉的效果。如果师傅们有更好的方法,烦请不吝赐教。PS:本文仅用于技术研究与讨论,严禁用于任何...
基于DOCKER和WEB UI 的深度网络爬虫
最近几天,逛GITHUB发现了个情报收集的东东,用于深度网络爬虫,爬取一些有用的信息其中他实现的如下,还有漂亮的UI使用CURL进行多层次的深度爬网链接提取器提取电子邮件/ BTC / ETH / X...
关于站库分离渗透思路总结
0x00 前言看到了某篇关于站库分离类型站点相关的讨论,想总结下信息收集的技巧。0x01 正文关于站库分离类型站点网上暂时没有找到总结性的文章,所以想尝试记录下关于站库分离类型站点的渗透思路。对站库分...
web 登录验证机制的攻与防
学习打卡计划是信安之路知识星球开启的 “每天读书一小时,挑战打卡一百天” 主题活动,能够坚持学习打卡 100 天的同学可以获得信安之路提供的百分成就徽章和证书,学习书籍可以自选,主要目的是养成每日读书...
针对校园Web内网无限加分?
前言:我好朋友的公众号,大家有兴趣可以关注一下!一.多个站点存在弱口令首先进行了端口扫描,发现了众多开放端口以下这几个开放的端口均开放着web服务,以下四个站点都是弱口令 admin adminhtt...
IOT漏洞研究:Web服务
路由器、防火墙、NAS和摄像头等由于功能复杂,为方便交互一般都会提供web管理服务,和服务器web相比,IOT的web功能较为简单,也就避免了一些复杂功能存在的漏洞,但是由于嵌入式设备的硬件瓶颈,设备...
[网络安全] 八.Web漏洞及端口扫描之ZeNmap、ThreatScan和DirBuster工具
转自娜璋之家Web渗透技术的核心是发现Web漏洞,发现漏洞有手工和软件自动化扫描两种方式。对于用户验证漏洞、用户凭证管理问题、权限特权及访问控制漏洞、缓存漏洞、跨站脚本漏洞、加密漏洞、路径切换漏洞、代...
UNCTF2020 _ Web Wp
沙漏安全团队欢迎真正热爱技术的你! 正 文 然后查了一篇师傅的博客记载了一个SSRF的一个黑魔法:代码很简单,参数中要有unctf.com,而且过滤了php|file|...
一款支持爆破的可变异Web目录模糊测试工具
Urlbuster是一款功能强大的Web目录模糊测试工具,该工具可以帮助广大研究人员定位目标应用程序中现有和隐藏的文件以及目录。该工具的功能类似于dirb:http://dirb.sourceforg...
SecWiki周刊(第351期)
本期关键字:Docker安全实践、小程序漏洞挖掘、网络安全系列书籍、网络靶场指南、任意文件下载、Shodan、内网扫描器、Linux透明代理、工控CTF仿真环境、CTF Writeup、自动化漏洞挖掘...
125