web安全

1.Netsparker Community Edition(Windows) 这个程序可以检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。 2.Websecurify(Windows, Linux, Mac OS X) 这是个简单易用的开源工具，此程序还有一些人插件支持，可以自动检测网页漏洞。运行后可生成多种格式的检测报告 3.Wapiti(Windows, Linux, Mac OS X) 这是一个用Python编写的开源的工具，可以检测网页应用程序，探测网页中存在的注入点。 4.N-Stalker Free Version(Windows) 此工具可一次检测100个以上的页面，包括跨页脚本的检测。 5.skipfish(Windows, Linux, Mac OS X) 这是一个轻量级的安全测试工具，处理速度很快，每秒可处理2000个请求。 6.Scrawlr(Windows) HP的一款免费软件，可检测SQL注入漏洞。 7.Watcher(Windows) 这个是Fiddler的插件，可在后台静默运行，可检测跨域提交等。。 8.x5s(Windows) 跟前一个一样也是Fiddler的插件，用于检测存在XSS漏洞，在网页提供给用户输入的地方是否有过滤<, >等字符。 9.Exploit-Me(Windows, Linux, Mac OS X)

web安全1——信息收集 信息收集是指通过各种方式获取所需要的信息。 信息收集是信息得以利用的第一步，也是关键的一步。信息收集工作的好坏，直接关系到入侵与防御的成功与否。 google命令 双引号”：强制结果包含某些字段 减号-：强制结果不包含某些字段 星号*：模糊匹配某些内容 filetype和site关键字：只搜某类型的文件，只搜某网站的内容 allinurl：限制搜索的词语是网页网址中包含的关键词（可使用多个关键词） 使用Google的其它专业搜索 https://translate.google.com.hk/ 谷歌翻译 http://www.google.cn/maps/ 谷歌地图 https://scholar.google.com/ 谷歌学术 Google、Gmail、维基百科、Twitter、Facebook等必须请用https加密方式打开 https://www.shodan.io/ Shodan新手入坑指南 http://www.freebuf.com/sectool/121339.html Shodan搜索引擎介绍 http://wooyun.tangscan.cn/static/drops/tips-2469.html 乌云网丨乌云知识库查询 http://wooyun.tangscan.cn/ Web信息搜索与挖掘的防范

HTTP.sys 远程代码执行 测试类型： 基础结构测试 威胁分类： 操作系统命令 原因： 未安装第三方产品的最新补丁或最新修订程序 安全性风险： 可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 技术描述： 通过 IIS 6 引入的 HTTP 协议堆栈 (HTTP.sys) 错误地解析了特制的 HTTP 请求。因此，远程攻击者可能执行拒绝服务供给，并可在系统帐户的环境中执行任意代码。该漏洞会影响 Windows 7、Windows Server 2008R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012 R2 上安装的 IIS。Microsoft 发布了通过修改 Windows HTTP 堆栈处理请求的方式来解决漏洞的更新。 利用的样本： GET / HTTP/1.1 Host: [SERVER] Range: bytes=0-18446744073709551615 SQL 盲注 测试类型： 应用程序级别测试 威胁分类： SQL 注入 原因： 未对用户输入正确执行危险字符清理 安全性风险： 可能会查看、修改或删除数据库条目和表 技术描述： 该软件使用受外部影响的输入来构造 SQL 命令的全部或一部分，但是它未能对可能在 SQL

一、跨域安全限制（同源策略） 同源：协议+主机+端口相同 同源策略阻止从一个源加载的文档或脚本获取或设置从另一个源加载的文档的属性。 这种限制可以防止某些恶意攻击，但也会带来诸多不便。 解决方法： 1、document.domain + iframe （子域名代理） 1.1 知识点 （1）某一页面的domain默认等于window.location.hostname （2）主域名是不带有www前缀的，带前缀的通常都为二级域名或多级域名 （3）domain只能设置主域名 1.2 对于主域相同，子域相同的情况 父页面、子页面同时设置 document.domain = "parent.com" 1.3 对于主域相同，子域不相同的情况 Eg： A页面：http://www.a.com/a.html B页面：http://blog.a.com/b.html 1.4 问题 （1）安全性：如果一个站点被攻击（b.a.com）,另一站点（c.a.com）也会引起安全漏洞； （2）安全性的连锁危机：如果一个页面引入多个iframe，要想操作所有iframe，必须得设置相同的domain。 2、JSOP 2.1 原理：浏览器对script标签跨域没有限制，它是一个无关标准，使用脚本标签来跨域获取数据的技术。 2.2 具体实现 （1）客户端通过script的src属性，实现不同域服务端接口请求； （2

XSS攻击简介 XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。 XSS攻击原理 HTML是一种超文本标记语言，通过将一些字符特殊地对待来区别文本和标记，例如，小于符号（<）被看作是HTML标签的开始，<title>与</title>之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符（如<）时，用户浏览器会将其误认为是插入了HTML标签，当这些HTML标签引入了一段JavaScript脚本时，这些脚本程序就将会在用户浏览器中执行。所以，当这些特殊字符不能被动态页面检查或检查出现失误时，就将会产生XSS漏洞。 XSS攻击案例 1、利用XSS弹警告窗： <script>alert(‘xss’)</script> 2、获取cookie形式：<script>alert(document.cookie)</script> 3、嵌入其他网站： <iframe src=http://baidu.com width=0 height=0><

偷偷挪用人家的分享： https://blog.csdn.net/aojie80/article/details/43836521 写的很棒 Burp Suite 介绍 https://blog.csdn.net/lynnlinlin/article/details/76736972 Burp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程 。 所有的工具都共享一个能处理并显示 HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。 他的官方网址是 https://portswigger.net/burp/。 Burp Suite(以下简称 Burp)，该公司发行了两个版本，一个是 Community Edition 社区版，另一个则是 Professional 专业版，所支持的功能也不大相同。 专业版提供了 Web 漏洞扫描功能和一些高级工具，而社区版则只是提供基本的手动工具，但 Pro 版的价格是昂贵的，需要用户每年 $ 349.00 美金。 这个工具好就好在能够共享一个 HTTP 消息，能够在各种模块之间交换信息。 如果上天只能让我选择一个 Web 扫描器，那么我会选择 Burp，因为他不仅仅只起一个爬网的作用。 Burp Suite 安装：安装 Burp 很简单，在 Kali

一、添加角色到您的服务器 二、选择程序服务器(IIS) 三、打开Internet 信息服务(IIS)管理器 四、右击网站，新建网站 五、网站创建向导 ip是本地ip，端口随便写，最好别和常用的端口冲突 六、在test文件夹随便创建一个html文件，然后访问 禁止非法，后果自负 欢迎关注公众号：web安全工具库 来源： CSDN 作者： web安全工具库 链接： https://blog.csdn.net/weixin_41489908/article/details/103591933

最近整理渗透测试的标准，需要梳理归纳出一个渗透测试的标准流程，参考了很多相关的书籍资料。 （1）IPD常见的流程，（Integrated Product Development）是一套产品开发的模式、理念与方法。熟练应用在互联网企业中。 TR1——概念阶段技术评审点：产品需求和概念技术评审（业务需求评审）。 TR2——计划阶段技术评审点1：需求分解和需求规格评审（功能需求评审，产品级规格）。 TR3——计划阶段技术评审点2：总体方案评审（系统设计， 架构设计 ， 概要设计 ）。 TR4——开发阶段技术评审点1：模块/系统评审（详细设计，BBFV测试结果）。 在产品发布之前，安全测试是TR4版本之后，对Web进行安全测试， 我们使用自动化工具进行的渗透测试（前期的自动化渗透测试），单纯的拿到的是部分常见的的漏洞，比方你发现的跨站脚本，上传漏洞，SQL注入等。这些漏洞并不是针对用户端的代码层的漏洞或者逻辑层的漏洞，对于一些业务逻辑上的漏洞的安全性危害是最大的。常见的这些漏洞会是攻击者进一步获取系统信息升级权限，从而造成对业务逻辑和应用上的攻击。这样就危害大了。 我们常规的安全问题反映在应用上和服务上，应用上主要是移动端，手机，笔记本，台式机等的，服务上主要是服务器。 （2）WEb应用的扫描测试 （使用的工具 APPScan ， Burp Suite ， Nmap，WEbInset

Web安全之CSRF攻击的防御措施 CSRF是什么？ Cross Site Request Forgery，中文是：跨站点请求伪造。 CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。 举个例子 简单版： 假如博客园有个加关注的GET接口，blogUserGuid参数很明显是关注人Id，如下： http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315 那我只需要在我的一篇博文内容里面写一个img标签： <img style="width:0;" src="http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315" /> 那么只要有人打开我这篇博文，那就会自动关注我。 升级版： 假如博客园还是有个加关注的接口，不过已经限制了只获取POST请求的数据。这个时候就做一个第三方的页面，但里面包含form提交代码，然后通过QQ、邮箱等社交工具传播，诱惑用户去打开，那打开过博客园的用户就中招了

web安全 安全测试 安全测试 Burpsuite/Fiddler/Charlesproxy Httpfox/Hackbar/User Agent Switcher/Poster Curl Sqlmap 入侵演练 DVWA/WebGoatWebGoat 反病毒 clamAV、Rootkit Hunter 漏洞扫描 openvas、nessus、appscan、wvs、netsparker 入侵检测 AIDE/tripwire 前端漏洞 任意重定向； 点击劫持； XSS； CSRF； 任意重定向 Web应用程序经常将用户重定向和转发到其他网页和网站，并且利用不可信的数据去判定目的页面。 如果没有得到适当验证，攻击者可以重定向受害用户到钓鱼软件或恶意网站，或者使用转发去访问未授权的页面。 危害：钓鱼过 URL安全扫描 数据泄露 限制重定向范围（白名单） t.cn，内部引入URL安全扫描（黑名单） <?php //某厂页面 header(‘location:’.$_GET[‘url’]); <?php $urlData = parse_url($_GET['url']); if(substr($urlData['host'],-10) =='.baidu.com') { header('location:'.$_GET['url']); } 点击劫持 点击劫持，clickjacking