web安全 第18页

2021-11-22hush阅读(214)赞(0)

一、事件说明 一日，某公司接到来自监管单位的通报，表示该公司的网站存在S情违规内容……于是乎我又得出发了，先是向客户要到了网站的地址先看看哪里存在违规的内容，一顿乱翻网站上的子页面都显示正常，回到首页按下F12果然网...

2021-11-21hush阅读(215)赞(0)

首先，当我们拿到一个网站的域名或者IP的时候。 最先要做的是信息收集。 如果你是刚日们，又或者对信息搜集并不是很能运用，我又提要视频就专门关于信息搜集的视频教程，有兴趣可以领！宁外，小编也准备了一些学黑客的电子书，都整合再百度网盘里了， 下...

2021-11-20hush阅读(227)赞(0)

前言 某次渗透测试中，信息收集过程中找到一个登陆界面。 其中在测试逻辑漏洞过程中，修改参数的时候爆出了Debug，才有了接下来的过程。 如有哪里不足，望师傅们指出。 1、Rce 通过Debug信息得知,这是一个thinphp的cms。 之前...

2021-11-20hush阅读(210)赞(0)

Mysql数据库在无论是在渗透测试还是正常使用都是比较常见的数据库，周末没事做，顺便总结梳理了mysql近些年的常见攻击利用方法。 0x01 简单介绍 MySQL 是最流行的关系型数据库管理系统，在 WEB 应用方面 MySQL 是最好的 ...

2021-11-19hush阅读(189)赞(0)

概述 2021年1月6日下午的16点左右，本来还要在摸两个点的鱼就可以飞法法的下班了，照例下班前把安全设备都看了一遍，一刷新系统蹦出几条某某大学下的大量二级域名网站被篡改的告警，随后经过人工验证所有告警的二级网址均存在被篡改页面,并随即报告...

2021-11-12hush阅读(239)赞(0)

虽说目前互联网上已经有很多关于 sql 注入的神器了，但是在这个 WAF 横行的时代，手工注入往往在一些真实环境中会显得尤为重要。本文主要把以前学过的知识做个总结，不会有详细的知识解读，类似于查询手册的形式，便于以后的复习与查阅，文中内容可...

2021-11-09hush阅读(227)赞(0)

1.1 web安全# 1.1.1 sql注入# 1.1.1.1 漏洞描述# SQL注入攻击主要是由于程序员在开发过程中没有对客户端所传输到服务器端的参数进行严格的安全检查，同时SQL语句的执行引用了该参数，并且SQL语句采用字符串拼接的方式...

2021-11-08hush阅读(276)赞(0)

路径与敏感信息发现概述 一般网站主站信息都比较少，我们需要在渗透测试过程的信息搜集阶段，我们可能会自动化工具获得来网站其他路径如：后台、其他未授权访问路径，扫描得到敏感文件的路径，从而找到敏感数据。 根据路径爆破工具进行使用与测评分析工具的...

2021-11-07hush阅读(250)赞(0)

phpMyAdmin 是一个以PHP为基础，以Web-Base方式架构在网站主机上的MySQL的数据库管理工具，让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径，尤其要处理大量资料...

2021-11-06hush阅读(220)赞(0)

背景 前一段时间我处理了一次应急响应，我还输出了一篇文章 Linux应急响应笔记。这两天又处理了一次病毒入侵，在前一次的基础上，这次应急做了一些自动化脚本，应急响应效率有了一定程度的提升，故另做一份笔记。 PS：本文重在分享应急响应经验，文...