CSS基础
CSS基础 1、什么是CSS 如何学习 CSS是什么CSS怎么用(快速入门)CSS选择器(重点+难点)美化网页(文字,阴影,超链接,列表,渐变…)盒子模型浮动定位网页动画(特效) 1.1 什么是CSS Cascading Style Sheet 层叠级联样式表 CSS:表现(美化网页) 字体,颜色,边距,宽度,背景图片,网页定位,网页浮动… 1.2…
Tplmap使用教程
Tplmap使用教程 Tplmap是一个python工具,可以通过使用沙箱转义技术找到代码注入和服务器端模板注入(SSTI)漏洞。该工具能够在许多模板引擎中利用SSTI来访问目标文件或操作系统。一些受支持的模板引擎包括PHP(代码评估),Ruby(代码评估),JaveScript(代码评估),Python(代码评估),ERB,Jinja2和Torn…
SQLmap 常用命令
SQLmap 常用命令 这里是一些我自己用过的或者感觉上回比较实用的一些sqlmap参数命令,有新的会不断补充 简介 SQLMap 是一个开源的渗透测试工具,可以用来进行自动化检测,利用 SQL 注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可…
DNSLog 盲注总结
DNSLog 盲注总结 总所周知,我们输入的域名需要通过DNS服务器进行解析得到IP地址才能通过IP访问网站,DNSLog就是存储在DNS服务器上的域名信息,它记录着用户对域名访问的信息,类似日志文件。我们只需要搭建一个的DNS服务器,并将要盲打或盲注的回显,放到自己域名的二级三级甚至更多级的子域名上去请求,就可以通过DNS解析日志来获取到它们。 …
CSRF总结
CSRF总结 简介 跨站请求伪造(Cross-Site Request Forgery, CSRF)是一种挟持用户在已经认证过的Web应用程序上执行非本意的操作的一种攻击方式。听起来和XSS(跨站脚本攻击)相似,但是两者实际上原理是不同的,XSS是利用站点内的信任用户,而CSRF是通过伪装来自受信用户的请求来利用受信任的网站;两者一个显著的区别在于…
CSP策略与绕过
CSP策略与绕过 之前在同源策略中提到过CSP,也就是内容安全策略。CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。合理地配置好CSP能够…
命令注入总结
命令注入总结 命令注入是通过易受攻击的应用程序在主机操作系统上执行任意命令。在此攻击中,攻击者提供的操作系统命令通常以易受攻击的应用程序的权限执行。 命令注入攻击很可能主要是由于输入验证不足。此攻击与代码注入不同,因为代码注入允许攻击者添加自己的代码,然后由应用程序执行。 在命令注入中,攻击者扩展了执行系统命令的应用程序的默认功能,而无需注入代码。…