安全:Web 安全學習筆記
背景 說來慚愧,6 年的 web 編程生涯,一直沒有真正系統的學習 web 安全知識(認證和授權除外),這個月看了一本《Web 安全設計之道》,書中的內容多是從微軟官方文檔翻譯而來,這本書的含金量不高,不過也不能說沒有收獲,本文簡單記錄一下我學習 Web 安全方面的筆記。 本文不涉及 IIS ...
原文:Web安全測試學習筆記 - 文件包含
基礎知識 文件包含指的是一個文件動態引用另一個文件,這是一種非常靈活的動態調用方式。有點類似Java引用jar包,但區別在於jar包引用后一般是固定不變的 一般不能動態改變所引用的jar包名稱 ,而文件包含可以將引用的文件名作為參數傳遞。php的文件包含舉例: 利用原理 引用文件名作為傳入參數暴露出來時,用戶可傳入任意文件名 惡意代碼,且程序本身沒有進行嚴格校驗 過濾時,便會形成文件包含漏洞。其危 ...
2020-01-21 14:05 0 674 推薦指數:
相關推薦
【滲透測試學習平台】 web for pentester -7.文件包含
Example 1 輸入單引號,報錯,得到物理路徑 可通過../../../../etc/paaswd 讀取敏感信息 可包含本地文件或遠程文件 https://assets.pentesterlab.com/test_include.txt Example ...
Web安全測試學習筆記 - vulhub環境搭建
Vulhub和DVWA一樣,也是開源漏洞靶場,地址:https://github.com/vulhub/vulhub 環境搭建過程如下: 1. 下載和安裝Ubuntu 16.04鏡像,鏡像地址: ...
Web安全測試學習筆記-DVWA-存儲型XSS
XSS(Cross-Site Scripting)大致分為反射型和存儲型兩種,之前對XSS的認知僅停留在如果網站輸入框沒有屏蔽類似<script>alert('ok')</scrip ...
Web安全測試學習筆記 - Slow HTTP DoS
結合DoS壓力測試工具slowhttptest來學習利用方式,slowhttptest包括三種攻擊模式Slowloris, Slow HTTP POST, Slow Read attack。 slowhttptest介紹:https://www.cnblogs.com/shenlinken/p ...
Web安全測試學習筆記 - 拒絕服務攻擊(DoS)
DoS是利用網絡協議缺陷,或者暴力攻擊的方式,耗盡服務器資源,讓目標計算機或網絡無法提供正常的服務或資源訪問(服務資源包括網絡帶寬,文件系統空間容量,開放的進程或者允許的連接等)。 實現DoS有很多種方式,下面列舉個人目前能理解的幾種 ...>_<... 1. SYN Flood ...
《Web安全攻防 滲透測試實戰指南》 學習筆記 (四)
Web安全攻防 滲透測試實戰指南 學習筆記 (四) Nmap Network Mapper 是一款開放源代碼的網絡探測和安全審核工具 nmap的相關參數和常用方法 ...