网络安全里装着好多人的侠客梦.但是不能触碰铁律,所以,只小小的自娱自乐. 自己练习,大都会用到DVWA,一个很好的安全测试平台,自己搭建(很简单,傻瓜式搭建),自己设置安全级别,自己验证各种漏洞攻击方式.(这里不再赘述,有时间可以将DVWA 的搭建再细传上来) 1.代理设置 将owasp zap 的本地代理设置成127.0.0.1 端口8080 测试用的浏览器也设置成同样的代理(可以用proxy switcher等快捷代理设置插件,也可以自己手动设置,例如如下) 2.抓包 保持打开owasp z…

15年出现的JAVA反序列化漏洞,另一个是redis配置不当导致机器入侵.只要redis是用root启动的并且未授权的话,就可以通过set方式直接写入一个authorized_keys到系统的/root/.ssh/目录下实现免密码登陆他人的Linux服务器.从而达到入侵成功的效果.fail2ban是一款很棒的开源服务软件,可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),而且可以发送e-mail通知系统管理员,很好.很实用.很强大!简单来说其功能…

按照惯例,利用OWASP ZAP工具扫描SQL injection漏洞时,应该很快就可以扫描出来,但是在笔者进行扫描的时候,却遇到了以下状况: 这说明了该工具根本就没能够扫描出SQL注入的漏洞,不知道该如何解决.因此我还是推荐大家用其他工具进行扫描,比如APPscan等工具,扫描的结果会在后续公布出来.…

免责声明: 本文意在讨论使用工具来应对软件研发领域中,日益增长的安全性质量测试需求.本文涉及到的工具不可被用于攻击目的. 1. 安全性测试 前些天,一则12306用户账号泄露的新闻迅速发酵,引起了购票用户的一片恐慌. 且不论这次账号泄露的漏洞究竟是发生在哪里,网络安全性这个话题再次引起了我们的关注. 做为IT从业人员,我们的研发产品是否具有足够的安全性,是不是能够在亿万用户的?我们是不是应该更多的关注产品安全性,投入更多的安全性测试资源? 从行业发展的趋势来看,答案是肯定的. 2. OWASP…

OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一,由数百名国际志愿者*积极维护.它可以帮助您在开发和测试应用程序时自动查找Web应用程序中的安全漏洞. 也可以说:ZAP是一个中间人代理.它允许您查看您对Web应用程序发出的所有请求以及您从中收到的所有响应. 即可以用于安全专家.开发人员.功能测试人员,甚至是渗透测试入门人员.它也是经验丰富的测试人员用于手动安全测试的绝佳工具. 主要拥有以下重要功能: 本地代理 主动扫描 被动扫描 Fuzzy 暴力破解 一.OWASP Z…

owasp zap 安全审计工具 的fuzzer可用场景如下: 一.SQL注入和XSS攻击等 1.选中请求中需要检查的字段值,右键-Fuzzy 2.选中file fuzzer功能(包括SQL注入,xss攻击等)便可以对相关安全问题进行检查 3.以下是sql注入的检查结果,可以看到对name字段进行了sql注入的遍历(xss等同理) 二.暴力破解 同上选中需要暴力破解的字段,入登陆接口的密码,如下选中string类型填写或者文本等…

一.安装 Windows下载下来的是exe的,双击就可以了! Linuxg下载下来的不是.sh就是tar.gz,这个就更加简单了. 唯一需要注意的是: Windows和Linux版本需要运行Java 8或更高版本JDK,MacOS安装程序包括Java 8: 二.使用 1.初步使用ZAP 进程保留: 初次打开ZAP时,会看到以下对话框,询问是否要保持ZAP进程. 保存进程则可以让你的操作得到保留,下次只要打开历史进程就可以取到之前扫描过的站点以及测试结果等. 一般来说,如果对固定的产品做定期扫描,…

SSH密码暴力破解及防御实战 一.Hydra(海德拉) 1.1 指定用户破解 二.Medusa(美杜莎) 2.1 语法参数 2.2 破解SSH密码 三.Patator 3.1 破解SSH密码 四.BrutesPray 4.1 语法参数 4.2 nmap扫描 4.3 字典爆破 五.MSF 5.1 SSH模块 5.2 SSH用户枚举 5.3 SSH版本探测 5.4 SSH暴力破解 六.暴力破解防御 6.1 useradd shell [推荐] 6.2 密码的复杂性[推荐] 6.3 修改默认端口[推荐…

继续回到沈老师的MYSQL颠覆实战,首先回顾下上一节课的内容,请大家会看下上节课写的存储过程. 打开prod_clicklog表, 我们只要把日期(不含时分秒)的部分存在数据库中, 如果同一日期有相同用户点击商品,那么我们对其数值+1,否则的话,这张点击日志表会过于庞大 下面我们将prod_clicklog表修改下: 将字段clickdate 修改为 date类型,增加clicknum字段,默认为1. 然后,我们把上一节课的存储过程sp_load_prod再修改一下: BEGIN ; SET @…

版权声明:笔记整理者亡命小卒热爱自由,崇尚分享.但是本笔记源自www.jtthink.com(程序员在囧途)沈逸老师的<web级mysql颠覆实战课程 >.如需转载请尊重老师劳动,保留沈逸老师署名以及课程来源地址. 这几节课沈老师先带我们说道一下商品表. 固定商品:譬如我们只是卖鞋,那么整个商品的属性基本都是一致的,列如鞋的颜色.尺寸.款式.品牌.价格.这时候我们涉及到的表往往是平面的. 这种涉及方法的特点: 1.纯定制化. 2.开发快,仅仅只要针对某些元素开发. 3.但是扩展性差,一旦我们新…