首页 > TAG信息列表 > 小迪
小迪安全D4笔记:基础入门-web源码拓展
title: 小迪安全D4笔记:基础入门-web源码拓展 author: TT date: 2022-09-02 一、web源码目录结构 后台目录 模板目录 数据库目录 数据库配置文件 二、web源码脚本类型 ASP PHP ASPX JSP JAVAWEB Python 不同脚本语言数据库存储不一样,解释型与编译型不同,安全漏洞也不同 三、web源码【小迪安全】04:基础入门-web源码扩展
(XYCMS搬家公司建站系统) 查找数据库文件路径: 发现后缀名为mdb文件——为asp网站特有的 打开mdb文件找到 admin_user数据库可以找到用户名和密码小迪安全Day1笔记
基础概念: 域名:由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 2. 二级域名 (1) 国际顶级域名下: 国际顶级域名下二级域名,二级域名一般指注册人选择使用的网上名称,例如“yahoo.com”;上网的小迪安全第03天:基础入门-搭建安全拓展
域名IP目录解析安全问题 对于一个服务器上面有多个网站,访问域名只会访问到www下的其中某个目录,但是访问ip是直接到www这个目录,在扫描时需注意 常见文件后缀解析对应安全 可以通过设置解析方式,让一种或多种指定后缀名的文件以特定形式进行解析。(中间件解析协议,解析利用) 常见安小迪安全 Web安全 第十九天 - WEB攻防 - .NET项目&DLL反编译&未授权访问&配置调试报错
一、.NET项目-DLL文件反编译指向-代码特性 (一).net反编译 1、推荐反编译工具 ILSpy (二).net项目dll反编译指向 1、在Admin目录下有一个activity.aspx的文件,该文件中指明了项目调用封装的dll文件,指向bin目录下的HdhCMS.dll文件中的HdhCMS.Admin中的activity类,其他指向文件的判断方法小迪渗透测试学习笔记(十六)WEB漏洞-SQL注入-查询方式及报错盲注
当进行SQL注入时,有很多注入会出现无回显的情况,其中不回显的原因可能是SQL语句查询方式的问题导致,这个时候我们需要用到相关的报错或盲注进行后续操作,同时作为手工注入时,提前了解或预知其SQL语句大概写法也能更好的选择对应的注入语句。 SQL语句 select 查询数据 在网站应小迪安全学习笔记--第25天web漏洞-xss跨站之原理分类及攻击手法
xss跨站漏洞产生原理,危害,特点 原理:在变量在接受数据的时候,如果接受的数据被执行了,那么就产生了xss漏洞 危害:(1)窃取管理员帐号或Cookie,入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息。 (2)窃取用户的个人信息或小迪渗透测试学习笔记(十一)WEB漏洞-必懂知识点
前言:本章节将讲解各种WEB层面上的有那些漏洞类型,具体漏洞的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用将是本章节学习的重点内容! CTE,SRc,红蓝对抗,实战等 #简要说明以上漏洞危小迪渗透测试学习笔记(九)信息收集-APP及其他资产等
在安全测试中,若WEB无法取得进展或无WEB的情况下,我们需要借助APP或其他资产在进行信息收集,从而开展后续渗透,那么其中的信息收集就尤为重要,这里我们用案例讲解试试如何! APP提取一键反编译提取APP抓数据包进行工具配合各种第三方应用相关探针技术各种服务接口信息相关探针技术小迪day11-web漏洞-必懂知识点详解
小迪day11-web漏洞-必懂知识点详解 2021/12/16 WEB 漏洞-必懂知识点 前言:本章节将讲解各种 WEB 层面上的有那些漏洞类型,具体漏洞 的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也 是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发 现,如何利用将是本小迪安全 Web安全 基础入门 - 第九天 信息打点 - CDN绕过篇&漏洞回链&接口探针&全网扫描&反向邮件
一. CDN知识-工作原理及阻碍 (一)工作原理 1.概述:CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响小迪安全 Web安全 基础入门 - 第八天 - 信息打点-系统篇&端口扫描&CDN服务&负载均衡&WAF防火墙
一、获取网络信息-服务厂商&网络架构 1、通过whois查询获取。 2、nmap、goby等扫描工具扫描获取。 3、https://www.netcraft.com/ 等网站查询获取。 二、服务信息获取-协议应用&内网资产 1、扫描协议应用可用nmap、masscan扫描,nmap扫描速度较慢,建议使用masscan。 2、旁注,同服务器小迪day7-信息收集-CDN 绕过
2021/12/12 信息收集-CDN 绕过 #如何判断目标存在 CDN 服务? 利用多节点技术进行请求返回判断#CDN 对于安全测试有那些影响? \#目前常见的 CDN 绕过技术有哪些? 子域名查询 1. xiaodi8.com 192.168.1.100 www.xiaodi8.com 192.168.1.100 bbs.xiaodi8.com 192.168.1.100或1.1~254小迪day2-基础入门-数据包扩展
2021/12/5 基础入门-数据包扩展 基础入门-数据包拓展 网站解析对应 #简要网站搭建过程 涉及到的攻击层面?(源码,搭建平台,系统,网络层等) 涉及到的安全问题?(目录,敏感文件,弱口令,IP 及域名等) HTTP/S 数据包 #HTTP/HTTPS 具体区别? 一个有加密一个没有加密 https网速略慢 \#HTTP 简要小迪安全第06天 基础入门,加密算法
06 基础入门,加密算法 前言: 在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作 为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准 备,本次课程将讲解各种加密编码等知识,便于后期的学习和发展。 常见加密编码等算法解析 MD5: MD5加密不可逆,所以它的安全小迪day2--搭建安全拓展
第一步首先安装一个2003服务器(不止于这个版本可以用更高的,但是此处做实验用的2003,所以用这个版本来讲解) 然后安装iIIS服务器,连接好光驱,然后双击进入 选择安装可选的Windows组件——》应用程序服务器(iis)——》确定——》下一步 安装好iis之后 https://down.chinaz.com/小迪安全--文件包含漏洞
文件包含漏洞 文件包含漏洞本地包含无限制有限制绕过 远程文件包含伪协议易酷cms文件包含漏洞复现漏洞修复 文件包含漏洞 本地包含 无限制 可目录穿越 有限制 限制为html文件 绕过 %00截断长度截断 远程文件包含 伪协议 易酷cms文件包含漏洞复现 漏洞组件-ek小迪安全--xss跨站脚本攻击
xss跨站脚本攻击 xss原理危害pikachu靶场反射型xss存储型xssDOM型xss xss平台cookie和session利用cookiewebshell箱子xss常见位置httponly绕过作用绕过方法 靶场htmlspecialchars() 绕过使用onclick执行xssonclick过滤referer 绕过waf绕waf工具 修复方案 xss原理 XSS全《小迪网络安全笔记》 第九节:信息收集-APP及其他资产等
前言 在安全测试中,若WEB无法取得进展或无WEB的情况下,我们需要借助APP或其他资产在进行信息收集,从而开展后续渗透,那么其中的信息收集就尤为重要,这里我们用案例讲解试试如何! 一、APP提取一键反编译提取 使用apkanalyser进行软件提取。 二、APP抓数据包进行工具配合 使用burp配2020小迪培训(第九天 信息收集-app及其他资产)
信息收集-app及其他资产 前言 在安全测试中,若 WEB 无法取得进展或无 WEB 的情况下,我们需要借助 APP 或其他资产在进行信息收集,从而开展后续渗透,那么其中的信息收集就尤为重要,这里我们用案例讲解试试如何! 技术 APP 提取一键反编译提取 通过漏了个大洞文件夹中的apk数据提【小迪安全36天】验证码与Token
验证码识别与token逻辑问题 验证码识别使用工具:pakv_http_fuzz使用工具:Burpsuite插件python 接口 验证码绕过后端逻辑错误绕过前端验证码绕过真实网站测试 Token绕过token callback回调函数 验证码识别 使用工具:pakv_http_fuzz 复制验证码图片数据包中的请求头信息,不(2020上半年第2天)小迪网络安全笔记(操作③)杂项操作
**一:判断网站搭建平台:**判断方法很简单将要测试网址的一些字母改成大写回车后网站无变化即为Windows搭建,相反则为Linux **二:Robots操作:**直接在网站网址最后输入robots回车即可 修改后 Disallow就是不让搜索引擎爬取的信息 六**web/Cms在线指纹识别:**http://whatweb.bugsca【小迪安全学习笔记】WEB漏洞-注入类型及提交注入
在真实SQL注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/2021060822422727.png?x-oss-process=i【小迪安全学习笔记】基础入门-搭建安全拓展
涉及知识: 常见搭建平台脚本启用 ASP,PHP,ASPX,JSP,PY,JAVAWEB等环境 域名IP目录解析安全问题 IP地址访问可以发现更多的信息同时经常能找到程序源码备份文件和敏感信息,而域名访问只能发现一个文件夹下的所有文件。网站搭建的时候支持IP访问和域名访问,域名访问的时候一般只会