zhouzhou的奇妙编程

发表了文章 1天前2024-11-13 13:45:48

渗透测试命令执行漏洞原理与验证(1)——命令执行漏洞概述

命令执行漏洞是指攻击者可以随意执行系统命令，分为远程命令执行(远程代码执行)和系统命令执行两类。

zhouzhou的奇妙编程 1天前2024-11-13 13:45:48

发表了文章 2天前2024-11-12 11:02:39

渗透测试文件包含漏洞原理与验证(3)——PHP封装伪协议

PHP 有很多内置 URL 风格的封装协议，这类协议与fopen()、 copy()、 file_exists()和 filesize()的文件系统函数所提供的...

zhouzhou的奇妙编程 2天前2024-11-12 11:02:39

发表了文章 2天前2024-11-12 10:38:27

渗透测试文件包含漏洞原理与验证(2)——文件包含漏洞利用

文件包含漏洞可以分为LFl(Local File Inclusion，本地文件包含)和RFI(Remote File lnclusion，远程文件包含)两种。而...

zhouzhou的奇妙编程 2天前2024-11-12 10:38:27

腾讯技术创作特训营S10

发表了文章 3天前2024-11-11 19:17:11

渗透测试文件包含漏洞原理与验证(1)——文件包含概述

把可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，无需再次编写函数。这一调用文件的过程被称为包含。

zhouzhou的奇妙编程 2天前2024-11-12 08:56:09

腾讯技术创作特训营S10

发表了文章 3天前2024-11-11 19:03:37

渗透测试XSS漏洞原理与验证(9)——XSS相关工具及使用

打开Proxy功能中的Intercept选项卡，确认拦截功能为"Interception is on"状态，如果显示为"Intercept is off"则点...

zhouzhou的奇妙编程 3天前2024-11-11 19:03:37

发表了文章 4天前2024-11-10 06:24:59

渗透测试XSS漏洞原理与验证(8)——XSS攻击防御

XSS Filter的作用是通过正则的方式对用户(客户端)请求的参数做脚本的过滤，从而达到防范XSS攻击的效果。

zhouzhou的奇妙编程 4天前2024-11-10 06:24:59

热点技术征文第十期1024程序员节

发表了文章 5天前2024-11-09 21:08:47

渗透测试XSS漏洞原理与验证(7)——XSS Worm

2005年10月4日，世界上第一只“Web 2.0蠕虫”诞生了。当时有人在国外著名社交网络MySpace上写了一段 JavaScript 蠕虫代码，利用 Aja...

zhouzhou的奇妙编程 5天前2024-11-09 21:27:28

发表了文章 5天前2024-11-09 07:52:17

渗透测试XSS漏洞原理与验证(6)——Cookie攻击

主要记录与用户相关的一些状态或者设置，比如用户名、ID、访问次数等。当用户下一次访问这个网站的时候，网站会先访问用户机器上对应的该网站的Cookie文件。

zhouzhou的奇妙编程 5天前2024-11-09 07:52:17

发表了文章 6天前2024-11-08 16:55:57

渗透测试XSS漏洞原理与验证(5)——XSS跨站脚本

XSS被称为跨站脚本攻击(Cross-site scripting)，由于和CSS(CascadingStyle Sheets)重名，所以改为XSS。

zhouzhou的奇妙编程 6天前2024-11-08 16:55:57

发表了文章 9天前2024-11-05 21:58:35

渗透测试XSS漏洞原理与验证(4)——HTTP协议安全

当用户登录后，在服务器就会创建一个会话(Session)，叫做会话控制，再访问页面的时候就不用登录，只需要携带Session去访问。

zhouzhou的奇妙编程 9天前2024-11-05 21:58:35

发表了文章 20天前2024-10-25 09:11:21

渗透测试XSS漏洞原理与验证(3)——Cookie安全

一般来说，同域内浏览器中发出的任何一个请求都会带上Cookie，无论请求什么资源，请求时，Cookie出现在请求头的Cookie字段中。服务端响应头的Set-C...

zhouzhou的奇妙编程 20天前2024-10-25 09:11:21

发表了文章 2024-10-082024-10-08 10:11:52

渗透测试XSS漏洞原理与验证(2)——Session攻击

Session对于Web应用是最重要的，也是最复杂的。对于Web应用程序来说，加强安全性的首要原则就是:不要信任来自客户端的数据，一定要进行数据验证以及过滤，才...

zhouzhou的奇妙编程 2024-10-082024-10-08 10:11:52

发表了文章 2024-10-082024-10-08 09:29:07

渗透测试XSS漏洞原理与验证(1)——会话管理

HTTP是一种无状态协议，一次请求结束，客户端与服务端的连接就会断开，服务器再次收到请求时，无法识别此次请求是哪个用户发过来的，需要重新建立连接。为了判断发送请...

zhouzhou的奇妙编程 2024-10-082024-10-08 09:29:07

腾讯技术创作特训营S9、安全、渗透测试服务

发表了文章 2024-09-262024-09-26 18:16:02

渗透测试SQL注入漏洞原理与验证(6)——SQLMAP基础

SQLMAP是一个开源的自动化SQL注入工具，其主要功能是扫描、发现并利用给定的URL的SQL注入漏洞。

zhouzhou的奇妙编程 2024-09-262024-09-26 18:16:02

发表了文章 2024-09-252024-09-25 18:10:25

渗透测试SQL注入漏洞原理与验证(5)——HTTP文件头注入

客户端（通常是浏览器）通过TCP/IP连接向Web服务器发送一个HTTP请求报文。

zhouzhou的奇妙编程 2024-09-272024-09-27 19:23:17

发表了文章 2024-09-242024-09-24 18:01:27

渗透测试SQL注入漏洞原理与验证(4)——SQL盲注

在SQL注入过程中，SQL语句执行后，选择的数据不能回显到前端页面，此时需要利用一些方法进行判断或者尝试，这个过程称之为盲注。

zhouzhou的奇妙编程 2024-09-272024-09-27 19:23:01

发表了文章 2024-09-232024-09-23 10:12:03

渗透测试SQL注入漏洞原理与验证(3)——SQL报错注入

通过构造特定的SQL语句，让攻击者想要查询的信息(如数据库名、版本号、用户名等)通过页面的错误提示回显出来。

zhouzhou的奇妙编程 2024-09-272024-09-27 19:22:38

发表了文章 2024-09-232024-09-23 09:15:30

渗透测试SQL注入漏洞原理与验证(2)——SQL注入漏洞利用

攻击者利用Web应用程序对用户输入验证上的疏忽，在输入的数据中包含对某些数据库系统有特殊意义的符号或命令，让攻击者有机会直接对后台数据库系统下达指令，进而实现对...

zhouzhou的奇妙编程 2024-09-272024-09-27 19:22:20

发表了文章 2024-09-182024-09-18 14:45:52

渗透测试SQL注入漏洞原理与验证(1)——数据库基础

数据库（ DataBase，DB ）：存储在磁带、磁盘、光盘或其他外存介质上、按一定结构组织在一起的相关数据的集合。

zhouzhou的奇妙编程 2024-09-272024-09-27 19:22:00