安全:Web 安全学习笔记
背景 说来惭愧,6 年的 web 编程生涯,一直没有真正系统的学习 web 安全知识(认证和授权除外),这个月看了一本《Web 安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习 Web 安全方面的笔记。 本文不涉及 IIS ...
原文:Web安全测试学习笔记 - 文件包含
基础知识 文件包含指的是一个文件动态引用另一个文件,这是一种非常灵活的动态调用方式。有点类似Java引用jar包,但区别在于jar包引用后一般是固定不变的 一般不能动态改变所引用的jar包名称 ,而文件包含可以将引用的文件名作为参数传递。php的文件包含举例: 利用原理 引用文件名作为传入参数暴露出来时,用户可传入任意文件名 恶意代码,且程序本身没有进行严格校验 过滤时,便会形成文件包含漏洞。其危 ...
2020-01-21 14:05 0 674 推荐指数:
相关推荐
【渗透测试学习平台】 web for pentester -7.文件包含
Example 1 输入单引号,报错,得到物理路径 可通过../../../../etc/paaswd 读取敏感信息 可包含本地文件或远程文件 https://assets.pentesterlab.com/test_include.txt Example ...
Web安全测试学习笔记 - vulhub环境搭建
Vulhub和DVWA一样,也是开源漏洞靶场,地址:https://github.com/vulhub/vulhub 环境搭建过程如下: 1. 下载和安装Ubuntu 16.04镜像,镜像地址: ...
Web安全测试学习笔记-DVWA-存储型XSS
XSS(Cross-Site Scripting)大致分为反射型和存储型两种,之前对XSS的认知仅停留在如果网站输入框没有屏蔽类似<script>alert('ok')</scrip ...
Web安全测试学习笔记 - Slow HTTP DoS
结合DoS压力测试工具slowhttptest来学习利用方式,slowhttptest包括三种攻击模式Slowloris, Slow HTTP POST, Slow Read attack。 slowhttptest介绍:https://www.cnblogs.com/shenlinken/p ...
Web安全测试学习笔记 - 拒绝服务攻击(DoS)
DoS是利用网络协议缺陷,或者暴力攻击的方式,耗尽服务器资源,让目标计算机或网络无法提供正常的服务或资源访问(服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接等)。 实现DoS有很多种方式,下面列举个人目前能理解的几种 ...>_<... 1. SYN Flood ...
《Web安全攻防 渗透测试实战指南》 学习笔记 (四)
Web安全攻防 渗透测试实战指南 学习笔记 (四) Nmap Network Mapper 是一款开放源代码的网络探测和安全审核工具 nmap的相关参数和常用方法 ...