07-22 初级渗透测试工程师 OWASP Top 10 (2021) OWASP Top 10 (2021) 1. 访问控制失效 (Broken Access Control) 指的是应用程序未能正确限制经过身份验证的用户可以执行的 10 0 0
07-21 初级渗透测试工程师 记录一下主播三次测试后台闯的祸 1.不小心把自己号删了 当时测试的都差不多了,准备把痕迹清理一下,因为创了用户组,就把用户组删了,忘记了自己登的用户也被划到用户组里了,直接把自己号给封了 2.不小心创了五百个用户 当时挂着xray,创了个用户,结果一下子多出来几百个用户,主播只能一个个删了 3.不小心把别人druid给搞404了 3 0 0
07-19 初级渗透测试工程师 若依系统sawgger-ui未授权漏洞+xss漏洞 ## 若依系统sawgger-ui未授权漏洞+xss漏洞 ### 用若依漏洞扫描工具扫 ### Swagger 未授权访问地址存在以下默认路径: 下面的路径就是常见的Swagger 未授权访问泄露路径,师傅们可以通过bp抓包,然后再通过bp对该接口路径进行爆破,但是我一般是先使用曾哥的一款sprin 6 0 0
06-03 初级渗透测试工程师 SQL注入 SQL注入 SQL注入介绍 MYSQL基础 01、显示数据库 show databases; 02、打开数据库 use db_name; 03、显示数据表 show tables; 04、显示表结构 describe table_name; 05、显示表中各字段信息,即表结构 show column 4
05-24 初级渗透测试工程师 命令执行漏洞 命令执行漏洞 命令执行漏洞概述 代码执行漏洞是由于WEB应用程序过滤不严谨,导致用户可以通过请求将代码注入到WEB应用进行执行。例如SQL注入,是将SQL语句注入到SQL中进行执行。而PHP代码执行漏洞是将代码注入到WEB服务器中,最终在WEB服务器中进行执行。 5
05-24 初级渗透测试工程师 文件上传漏洞 文件上传漏洞 文件上传漏洞原理 一些web应用程序中允许上传图片、视频、头像和许多其他类型的文件到服务器中。 文件上传漏洞就是利用服务端代码对文件上传路径变量过滤不严格将可 3
05-24 初级渗透测试工程师 4.Nmap & MSF使用 4.Nmap & MSF使用 Nmap Nmap(Network Mapper)是⼀款功能强⼤的⽹络扫描和安全审计⼯具,⼴泛⽤于⽹络发现和安全检测。它能够执⾏多种类型的扫描,包括主机发现、端⼝扫描、服务版本检测、操作系统识别等。 基本操作 4
05-20 初级渗透测试工程师 1.渗透测试概念 渗透测试概念 CIA三要素 机密性(Confidentiality) 这⼀原则确保了敏感信息只能被授权的个⼈访问。机密性对于保护个⼈数据、商业机密和其他敏感信息免受未经授权的访问⾄关重要。加密、访问控制和安全认证⽅法等技术⽤于维护机密性。 完整性(Integrity) 5
