渗透测试

使用sql注入对某网站的一次渗透测试过程分享

阅读(146)

该案例记录了笔者2020年 渗透测试 的目标网站,当时首先找到了子域名SA权限的检索型注入, 认为能够顺利获得目标服务器的权限,结果在测试中遇到了很多问题。例如,我们测试了一...

使用sql注入对某网站的一次渗透测试过程分享

阅读(70)

该案例记录了笔者2020年 渗透测试 的目标网站,当时首先找到了子域名SA权限的检索型注入, 认为能够顺利获得目标服务器的权限,结果在测试中遇到了很多问题。例如,我们测试了一...

该怎么绕过WAF对网站进行渗透入侵?

阅读(360)

绕过Web防火墙,WAF简介,WAF对于一些常规漏洞(如sql注入漏洞、XSS漏洞、命令执行漏 洞、文件包含漏洞等)的检测大多是基于正则表达式和AI+规则的方法,因此会有一定的概率 绕过其...

网站渗透服务中挖掘的高危漏洞有哪些?

阅读(391)

2021年元旦初接到许多网友的留言,想要了解网站漏洞利用的高危方式都有哪些,其实最 致命的漏洞就是执行任意命令导致可以拿下最高权限,但仅限于讨论,如果在渗透测试客户站 点...

WEB渗透测试过程中常见的5大漏洞介绍

阅读(347)

Web渗透测试中网站漏洞利用率最高的前五个漏洞。常见漏洞包括注入漏洞、文件上传漏洞 、文件包含漏洞、命令执行漏洞、代码执行漏洞、跨站点脚本(XSS)漏洞、SSRF漏洞、XML外 部实体...

渗透测试工具之AWVS的使用介绍

阅读(671)

很多渗透测试中用网站漏洞自动扫描器进行前期扫描的比较常见的就是AWVS,而它是一 款自动的Web漏洞扫描工具。它通过跟踪网站上的所有链接来分析整个网站,然后对网站的 每个部分...

网站渗透测试中如何对cms版本进行识别

阅读(690)

网站的重要信息识别,指纹识别,企业和开发者为了提高开发效率,多使用现有的内容管 理系统(CMS),或者在此基础上进行二次开发。CMS种类繁多,开发人员水平参差不齐,CM S漏洞一度...

服务器渗透测试第一步 端口信息收集篇

阅读(240)

服务器信息收集在渗透攻击过程中,对目标服务器的信息收集是非常重要的一步,服务器 上面可以运行大量的系统服务和第三方应用服务,如果操作系统或者第三方教件没有及时升级...

对物联网设备的安全渗透测试与漏洞扫描

阅读(242)

发现奇虎360设备有DNS服务。该服务功能齐全,送达设备的请求将得到响应。不知道为什 么在设备上运行DNS服务。因为网络中这个水平的请求都由路由器发出的DNSIP处理。这种服 务的调查...

渗透某企业服务器的一次红队行动经验分享

阅读(263)

此时,离这个行动结束还有两天,我们意识到尽可能短的时间内进行横向渗透,尽可能多 地获得服务器主机。个人主机的权限非常不稳定,可用时间跟着上班时间,晚上不能工作了,...