介绍了web安全的各种常见漏洞。视频卡顿,建议直接看网易出品的白帽子视频。 类似的教程还有,网易白帽子的教程:参考简书https://www.jianshu.com/p/1b372ca96b87 在看视频的过程中,由于不是最新的版本,学到的各种工具的下载与来源可能已经过时或者不可用或者早就用其他的替 ...
分类:
Web程序 时间:
2019-05-01 01:21:38
阅读次数:
164
Exp3 免杀原理与实践 20164321 王君陶 1实验要求 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) 1.2 通过组合应用各种技术实现恶意代码免 ...
分类:
其他好文 时间:
2019-03-31 19:20:22
阅读次数:
443
Python 是Web 开发、游戏脚本、计算机视觉、物联网管理和机器人开发的主流语言之一,随着Python用户可以预期的增长,它还有机会在多个领域里登顶。Python学习路线分享给你。 阶段一是Python语言(用时5周,包括基础语法、面向对象、高级课程、经典课程); 阶段二是Linux初级(用时1 ...
分类:
编程语言 时间:
2018-11-21 10:24:38
阅读次数:
201
下面介绍了这些工具的主要功能以及教程、书籍、视频等。 端口扫描器:Nmap Nmap是"Network Mapper"的缩写,众所周知,它是一款非常受欢迎的免费开源黑客工具。Nmap被用于发现网络和安全审计。据数据统计,全世界成千上万的系统管理员使用nmap发现网络、检查开放端口、管理服务升级计划, ...
分类:
其他好文 时间:
2018-09-30 20:06:06
阅读次数:
226
SQL注入攻击(SQL injection)是目前网站安全以及服务器安全层面上是最具有攻击性,危害性较高,被黑客利用最多的一个漏洞,基本上针对于网站代码,包括JAVA JSP PHP ASP apache tomcat 语言开发的代码都会存在sql注入漏洞。 随着JAVA JSP架构的市场份额越来越 ...
分类:
数据库 时间:
2018-06-08 10:38:21
阅读次数:
200
5月21日,深圳证监局公布对联储证券有限责任公司采取出具警示函行政监管措施的决定 。深圳证监局表示,根据中国信息安全测评中心出具的信息系统渗透测试报告显示,联储证券存在多项信息安全漏洞。 据了解,中国信息安全测评中心自1998年创立,依据中央授权,测评中心主要开展信息安全漏洞分析与风险评估等,是中央 ...
分类:
其他好文 时间:
2018-05-21 19:43:39
阅读次数:
262
这篇博客简述如何快速识别被第三方应用使用的SQL Server实例,该第三方软件用PowerUpSQL配置默认用户/密码配置。虽然我曾经多次提到过这一话题,但是我认为值得为这一主题写一篇简短的博客,帮助大家解决常见的问题。希望会帮助到那些尝试清理环境的渗透测试人员和网络安全团队。 测试方法总结 默认 ...
分类:
数据库 时间:
2018-05-19 15:47:47
阅读次数:
318
前言: 信息收集是渗透测试重要的一部分 这次我总结了前几次写的经验,将其 进化了一下 正文: 信息收集脚本的功能: 1.端口扫描 2.子域名挖掘 3.DNS查询 4.whois查询 5.旁站查询 CMS识别脚本功能: 1.MD5识别CMS 2.URL识别CMS 原理:cms识别CMS将网站加一些CM ...
分类:
编程语言 时间:
2018-05-19 14:42:34
阅读次数:
892
一、背景说明 在前端页面调试或者渗透测试(尤其是XSS)时,我们经常想定位js函数位置;比如点击了某个位置弹出了一个对话框,这是哪个文件的哪个js函数在响应。 本文以Chrome浏览器定位点击事件响应函数为例,介绍定位方法。 二、定位演示 2.1 定位调用的函数 我们点击图中“test”行,然后弹出 ...
分类:
Web程序 时间:
2018-05-14 19:56:33
阅读次数:
345
公告:博文只是督促自己学习,欢迎各位大佬批评指正!渗透测试标准PETShttp://www.pentest-standard.org1、前期交互阶段2、情报收集阶段3、威胁建模阶段4、漏洞分析阶段5、后期渗透测试阶段6、渗透测试报告应用程序菜单介绍这些任务和活动包括:信息收集:收集有关目标网络及其结构的数据,识别计算机及其操作系统,以及它们运行的服务。识别信息系统中可能敏感的部分。从运行目录服务中
分类:
系统相关 时间:
2018-05-13 15:35:26
阅读次数:
222
