- 博客(7)
- 问答 (2)
- 收藏
- 关注
RSS订阅原创 安全角度浅谈cookie、session、token
前言:为什么要研究cookie、session和token呢?我当前已经学习完了sql注入和部分xss攻击,其中都遇到了使用和获取cookie,不把cookie理解了,就无法完全理解黑客获取它的原因。同时深刻理解了这三者之间的关系,对于预防也有很大的指导意义。
2019-04-14 17:33:06
930
1
原创 SQL注入原理(手动SQL注入)---web渗透学习
上一文《SQL注入原理—Web渗透学习》主要罗列了SQL注入的危害、SQL注入的主要方式及SQL注入主要关注的数据库infromation_schema库。重点讲了infromation_schema数据库,其本质是保存着数据库服务器中所有数据库信息,主要包含了该服务器包括了哪些数据库(schemata表),各个数据库中都包含了那些表格(tables表—其中table_schema列保存数据库名称...
2019-04-08 23:17:15
613
1
原创 SQL注入原理---Web渗透学习
SQL注入的危害:1.拖库导致数据库泄露;2.危害web等应用的安全;3.失去操作系统的控制权;4.用户信息被非法买卖;5.危害企业及国家的安全。SQL注入的主要方式:1.基于错误的注入;2.基于布尔的注入;3.基于UNION的注入;4.基于时间的注入。SQL关注的主要数据库:information_schema库:其实MYSQL数据库的信息数据库,其保存着MYSQL服务器...
2019-04-07 23:56:21
1716
3
原创 图片木马---web渗透学习
在《文件上传漏洞—Web渗透学习》一文中讲到在高安全级别(有较强安全意识的开发人员)中,开放人员定义了用户上传文件的扩展名,只有文件扩展名是jpg、JPG、jpeg、JPEG等文件才允许上传。通过代理服务器等方法无法对其进行渗透。通过文件包含漏洞的渗透方法和文件上传漏洞的方法结合,可以成功渗透文件上传漏洞中的高安全级别。原理:我们在高安全级别中真实的长传一张图片,但在通过图片编辑软件,将ph...
2019-04-05 01:30:45
1149
原创 文件包含漏洞---Web渗透学习
文件包含漏洞的原理:在开发过程中,文件包含是一种正常的、频繁使用的一种代码编写的正确方式。以python、php、c语言等为了其主要通过include语句来实现文件包含。从本人开发的经历来看,首先建立网页的框架,然后在其他文件中使用include语句将该框架引用到其他文件中,能够减少写码的数量,且提高代码的逻辑关系,并能提高代码的通用性和专用性。但是安全意识比较低的同事为了方便会经常使用i...
2019-04-05 01:03:22
383
原创 文件上传漏洞---Web渗透学习
文件上传本身是一个系统的正常需求,但是由于开发人员在开发时欠缺相关的安全知识,在对用户文件上传部分的控制不足或者缺陷,而导致用户越过其本身权限向服务器上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒、恶意脚本或webshell等。这种攻击最为直接有效但是预防相对简单,除了开发语言方面,主要通过安全设备WAF(web application firewall,本文不对此进行讨论)来进行防...
2019-04-04 23:44:01
693
1
空空如也
Backtrack linux被kali linux取代的原因?是FHS的原因吗?
2019-05-07
http头中uuid_tt_dd和dc_session_id的关系和区别是什么?
2019-04-14
TA创建的收藏夹 TA关注的收藏夹
TA关注的人