• 欢迎访问行云博客,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入行云博客 QQ群
  • 本站广招各类优秀作者,详情可以加群联系
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏行云博客吧

标签:网络安全

SSRF服务端请求伪造——原理及绕过姿势

原理SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的……

CSRF跨站请求伪造——原理及复现

原理CSRF(Cross-site request forgery)跨站请求伪造:通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。 与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当……

PHP正则表达式

正则表达式1、正则表达式中包含三种元素分别为:量词、元字符、修饰符2、前导字符串:就是符号前面的一个字符或字符串量词 说明+ 匹配任何至少包含一个前导字符串* 匹配任何包含零个或多个前导字符串? 匹配任何包含零个或1个前导字符串. 匹配任意一个字符串{x} 匹配任何包含x个前导字符串{x,y} 匹配任何包含 x 到 y 个前导字符串{……

安全牛带你入门PHP代码审计

教程介绍为什么选择PHP学习代码审计?PHP是天生用来开发web程序的,正如之前的梗”PHP是世界上最好的语言”,最主要的原因是PHP编写的各种程序随处可见。……

PHP代码审计之入门实战教程

教程介绍讲师结合自身的学习经验,设计了适合代码审计入门指导的课程《PHP代码审计实战》。在本课程中,第一二章系统的讲解代码审计入门的一些基础知识:代码审计环境的准备、代码审计的一般步骤、INI文件的安全配置、一些常见的危险函数、常用Web的漏洞类型、掌握相关审计工具的使用。第三章着重实战演示常用Web漏洞类型的代码审计过程。……

Adobe Flash爆出严重漏洞:可导致代码任意执行 获取个人隐私

众所周知,Flash是网络攻击的首选目标。值得注意的是,Adobe在2017年7月宣布计划将Flash推入使用寿命终止状态,这意味着它将在今年年底不再更新或分发Flash Player。不过仍然在使用Adobe的用户需要警惕,因为Adobe 在今年5月被爆出了多个严重漏洞,好在Adobe于6月9日发布了安全更新,修复了漏洞。Adobe 被爆出的漏洞:两个……

PHP安全配置

一、屏蔽PHP错误信息在配置文件中,设置display_errors=On,开启了PHP错误显示,在PHP程序遇到错误时,会暴露PHP文件和系统路径,从而容易被威胁,我们需要设置:;默认开启;Default Value: On;研发环境开启;Development Value: On;生产环境开启;Production Value: Off;……

PHP建议禁用的危险函数

PHP配置文件中的disable_functions选项能够在PHP中禁用指定的函数。PHP中有很多危险的内置功能函数,如果使用不当,可造成系统崩溃。禁用函数可能会为研发带来不便,但禁用的函数太少又可能增加研发人员写出不安全代码的概率,同时为黑客非法获取服务器权限提供遍历。在PHP配置文件中添加需要禁用的函数可以有效避免webshell。在PHP中配置如下……

dos攻击的工具——pentmenu

pentmenuA bash select menu for quick and easy network recon and DOS attacksSudo is implemented where necesssary. Tested on Debian and Arch.环境需求:bashsudocurlnetcat (必须支持R……

通过F5获取服务器真实内网IP

渗透测试过程中,经常会遇到目标服务器使用F5 LTM做负载均衡。 如果能获取到目标服务器的真实IP地址,会给后续渗透带来一定便利。本文既是最近渗透遇到的一点点经验分享。F5修改cookie机制F5 LTM做负载均衡时,有多种机制实现会话保持。 其中用到很多的一种是通过修改cookie来实现的。具体说来,F5在获取到客户端第一次请求时,会使用set……

网络安全——浅谈HTTPS协议

简介HTTPS,安全的HTTP,也被称为HTTP over TLS,TLS的前身是SSL。HTTPS的安全基础是SSL。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议:SSL记录协议–建立在可靠的传输协议之上,为高层协议提供数据封装,压缩、加密等基本功能。SSL握手协议–建立在SSL记录协议之上,用户在实际的数……

网络安全——浅谈HTTP协议

简介:什么是HTTP?HTTP–Hyper Text Transfer Protocol,超文本传输协议,是一种建立在TCP上的无状态连接,整个基本的工作流程是客户端发送一个HTTP请求,说明客户端想要访问的资源和请求的动作,服务端收到请求之后,服务端开始处理请求,并根据请求做出相应的动作访问服务器资源,最后通过发送HTTP响应把结果返回给客户……

XSS游戏挑战详解(下)

前文:XSS游戏挑战详解(上)level-11查看源代码,发现本关与第十关类似,还发现t_ref参数的值包含上一题提交的参数此时,利用burp抓包,修改referer1" type="text" onclick="alert(1)level-12同上,查看源代码,发现t_ua参数的值为Use……

XSS游戏挑战详解(上)

前言最近刚学到xss,老师发了一个靶场,刚好拿来练练手,提升下技术,本文用于记录。level-1查看源代码,发现有参数name,那么尝试最基本的攻击,通关成功。1<script>alert(1)</script>level-2利用第一关的代码,发现输入的值在input标签内,这时尝试闭合标签……

web渗透测试靶站开源系统

分享几个web渗透测试常用网站(靶场)DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。链接地址mutillidaemutillidaemutillidaemutillidae是一……

浅谈xss——跨站脚本攻击(四)

前文:浅谈xss——跨站脚本攻击(一)浅谈xss——跨站脚本攻击(二)浅谈xss——跨站脚本攻击(三)讲了这么多攻击方式,这次讲一讲防范方法反射型xss漏洞防范1234567891011121314151617181920212223A.PHP直接输出html的,可以采用以下的方法进行过滤:1.htmlspecialchars函数2.h……

浅谈xss——跨站脚本攻击(三)

接上文:浅谈xss——跨站脚本攻击(一)浅谈xss——跨站脚本攻击(二)DOM型xss新建一个Dom.php文件,插入以下代码1234567891011<?php      error_reporting(0); //禁用错误报告      $name = $_G……

浅谈xss——跨站脚本攻击(二)

接着上文讲:浅谈xss——跨站脚本攻击(一)这次谈谈存储型XSS和反射性XSS的即时响应相比,存储型XSS则需要先把利用代码保存在比如数据库或文件中,当web程序读取利用代码时再输出在页面上执行利用代码。但存储型XSS不用考虑绕过浏览器的过滤问题,屏蔽性也要好很多。存储型XSS攻击流程:存储型XSS的白盒审计同样要寻找未过滤的输入点和未过滤的输出……

浅谈xss——跨站脚本攻击(一)

什么是xssXSS全称:跨站脚本(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS;攻击者会向web页面(input表单、URL、留言版等位置)插入恶意JavaScript代码,导致管理员/用户访问时触发,从而达到攻击者的目的。xss跨站脚本漏洞非持久型xs……

有关ddos详解及软件和方式

首先从一个比方来深入理解什么是DDOS。一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业,他们会采取什么手段呢?(只为举例,切勿模仿)恶霸们扮作普通客户一直拥挤在对手的商铺,赖着不走,真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯,让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息,商铺的上上下下忙成一团之后却发现都是一场空,……

新手攻防基础

适合无基础,对黑客攻防了解不深的同学们百度网盘 提取码:8p1d文章转自:中国红客联盟……

旅行者探测器系统 漏洞扫描器 渗透测试工具集

0x01 功能介绍作为一个渗透人员,在每次渗透网站的时候都要拿出一堆黑客工具,比如nmap, awvs, 御剑等工具进行测试,由于实在厌烦了一些低级重复性的工作,趁着2020年新年创建了一个工具集合平台,将渗透测试常见的域名扫描,端口扫描,目录扫描,漏洞扫描的工具集合在一起目前平台还在持续开发中,肯定有不少问题和需要改进的地方,欢迎大佬们提交建议和Bug……

云服务器如何安装MFS环境

在校园网环境下,由于各种限制,会导致本机虚拟机网络出现各种问题,解决起来非常繁琐,为此可以在服务器上安装MSF1. 安装MFS用xshell等工具连接你的服务器,并使用1ifconfig查看你的ip地址并记下来接下来的命令12345678// 切换目录cd /home// 获取MSF安装脚本curl https://raw.github……