- 博客(14)
- 资源 (3)
- 收藏
- 关注
RSS订阅
原创 Linux学习笔记
文件搜索find 【查找范围】 【查找类型】find / -name init -user/group root -type d/f/l -exec ls -l/对结果执行操作 {} \; -size +204800 -a -409600 同时满足两个条件 -size +204800 -o -409600 满足任意条件locate 文件名 在文件资料库查找 updatedb 更新资料库whice 命令 搜索命令所在目录及别名信息whereis ...
2021-07-01 15:54:31
250
原创 MongoDB数据库未授权访问漏洞
近日通过推获悉“北京某监控公司的数据库没设置密码,导致可随意访问大量公共摄像头的视频信息,漏洞估计还没修复,虽然IP被打码,只要扫描北京所有网段有未授权访问漏洞的27017端口,存在漏洞的IP还是能找的到。实际操作也不复杂,安装namp后执行nmap -iL ip.txt -p 27017 --script=mongodb-info”然后我们进行分析漏洞并复现此漏洞,图片虽然被打马赛克,但...
2020-01-15 17:15:30
2074
原创 任意用户密码重置漏洞挖掘
第一步:登录ceshi1账号找到修改密码功能抓取数据包,得知修改密码时userid参数为:23166第二步登录测试账号2查看userid参数为21369第三步:登录ceshi1账号找到修改密码功能抓取数据包,找到ceshi1账号下userid更为为21369第四步:用修改后的密码登录ceshi2账号,登录成功。...
2019-11-20 11:49:44
1613
原创 如何在excel表格中批量添加内容?
第一步:打开excel数据表格。第二步:将需要设置的内容全部选中,右击选择设置单元格格式。第三步:在设置单元格格式中找到自定义然后写入要添加的内容,添加时要注意符号全为英文格式。否则添加失败。...
2019-04-16 16:12:35
15204
原创 win10使用软件提示“为了对电脑进行保护,已经阻止此应用”或软件上面有盾牌不能正常打开软件。
近日小编电脑崩溃,重新安装了win10系统,在安装win10系统时,让你自动创建一个用户,然后这个用户的权限要比Administrator权限要低,所以导致如下问题:那么小编今天就教大家一招如何解决此问题。第一步:右击这台电脑选择“管理”,点击进入。第二步:进入计算机管理到本地用户和组。第三步:打开本地用户和组,找到用户里面的Administrator项。...
2019-04-16 16:04:22
7980
2
原创 支付漏洞挖掘
支付漏洞挖掘首先注册用户进行登录然后选择购买船票在这个数据包中进行修改金额0.01 然后在返回上一个包在进行修改。修改成功,进行支付。4.支付成功。我就可以坐船了 哈哈哈 ...
2019-02-19 16:34:56
1006
原创 nmap测试漏洞语句
1、http 拒绝服务nmap --max-parallelism 800--script http-slowloris www.test.com2、IIS 短文件泄露nmap -p 8080 --script http-iis-short-name-brute 127.0.0.13、ftp弱口令暴力破解nmap --script ftp-brute --script-args brute...
2019-02-18 15:52:32
2395
原创 xss测试语句
<script>alert(navigator.userAgent)<script><script>alert(1)</script><script>confirm(1)</script><script>prompt(1)</script><script>\u0061\u006C\u...
2019-01-09 10:15:49
9004
1
原创 越权漏洞分享
1)风险描述:越权访问,这类漏洞是指应用在检查授权(Authorization)时存在纰漏,使得攻击者在获得低权限用户帐后后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能。目前存在着两种越权操作类型:横向越权操作和纵向越权操作。前者指的是攻击者尝试访问与他拥有相同权限的用户的资源;而后者指的是一个低级别攻击者尝试访问高级别用户的资源。2)风险验证(1)输入正确的账...
2018-07-27 19:13:39
2613
原创 看手相测运气分析报告
看手相测运气分析报告这几天看朋友圈里有发看手相测运气动态,处于好奇,套路一波。第一步:加好友。第二步、提供给他需要的信息。提供后他让你转发或者宣红包打赏。发朋友圈(抓住了人的弱性,一定会选择免费然后进行下一步操作)打赏成功——(绿灯直接通过然后给你简单的看一下,感觉很准,继续发朋友圈进行钱财欺骗)小编是选择的免费继续往下拉看。。。。。。。。大家猜一下,2小时之内的时间去干嘛呢?当然是百度、谷歌、搜...
2018-05-11 15:02:07
2975
原创 常用的安全漏洞修复建议
SQL注入漏洞描述通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。导致敏感信息泄漏、破坏数据库内容和结构、甚至利用数据库本身的扩展功能控制服务器操作系统。修复建议...
2018-04-03 17:38:58
10867
原创 XSS和CSRF区别?
XSS原理:根本我个人理解XSS又叫CSS(Cross-SiteScripting跨站脚本攻击)为了不和css层叠样式表混淆,所以改成了XSS。XSS是将恶意的代码插入到html页面中,当用户浏览页面时,插入的html代码会被执行,从而达到最终目的。XSS分为三种:反射型:这种反射型一般存在链接中,请求链接时,代码经过
2017-05-02 21:12:36
17689
1
原创 SQL注入剖析
SQL注入剖析什么是SQL注入:SQL注入攻击(SQL Injection),简称注入攻击,SQL注入是web开发中最常见的一种安全漏洞。 SQL注入漏洞可以用来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统最高权限原理:SQL注入,就是通过把SQL语句插入到web表单提交或输入域名发出请求的查询字符串,最
2017-04-27 10:49:46
854
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人