Web Application 扫描工具——IBM AppScan
AppScan 工具AppScan 工具一、简介二、优缺点1.优点2.缺点三、安装四、主要模块介绍1.常规式扫描2.配置式扫描3.报告模块4.PowerTools辅助工具五、参考文章一、简介原名 watchire Appscan ,2007年被IBM收购,成为IBM Appscan。IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan
渗透测试Web扫描器——OWASP_ZAP
OWASP ZAP一、简介二、优缺点1.优点2.缺点三、安装1.下载地址2.下载注意四、主要功能介绍1.界面介绍2.初次启动的session实例保存3.默认侦听的端口是8080,如果要更改端口,则点击选项按钮进行修改即可4.更新插件5.扫描模式6.证书安装7.API8.扫描策略9.常见选项的解释10.编码解码功能五、扫描网站实例六、参考文章OWASP ZAP一、简介OWASP ZAP 攻击代理(Z
w3af工具—Web应用程序攻击审计框架
w3af一、简介二、优缺点三、安装四、主要模块使用及常用插件介绍模块使用1.fast_scan:快速扫描模块。使用步骤:2.OWASP_TOP10:漏洞扫描器模块。使用步骤:常用插件介绍1.XSS:在audit模块下,用来检测目标网站是否存在跨站脚本漏洞2.blindSqli:在audit模块下,用来检测目标网站是否存在数据库盲注漏洞3.xpath:在audit模块下,用来检测目标网站是否存在跨域
Sqlmap手册—史上最全!最详细手册!
Sqlmap工具一.介绍开源的SQL注入漏洞检测的工具,能够检测动态页面中的get/post参数,cookie,http头,还能够查看数据,文件系统访问,甚至能够操作系统命令执行。检测方式:布尔盲注、时间盲注、报错注入、UNION联合查询注入、堆叠注入支持数据库:Mysql、Oracle、PostgreSQL、MSSQL、Microsoft Access、IBM DB2、SQLite、Fireb
111123124
112312313
文件上传解析漏洞(完结)
文件上传漏洞解析、验证、伪造1.客户端检测1.1)文件上传功能:① 修改图片。 ② 发布图片 ③ 发布附件 ④各种各样的2.服务端检测2.1)一句话木马(WebShell):只要目标的站点上存在这个木马,我们就能够控制它原理:eval函数会把字符串当做php代码进行执行。<? php eval($_REQUEST[8]) ?>Getshell => 获取权限(得到We
前端渗透测试(完结)
一.XSS原理分析与解剖原理:用户输入的数据被当做前端代码(HTML、CSS、Javascript)执行。与JavaScript息息相关,JS能够操作浏览器去做各种事情1.什么是XSS?前端代码注入,XSS注入的是恶意拼接的HTML代码。2.XSS作用盗取cookie(用的最频繁):用JS读取Cookie,再用ajax发送Cookie。手写JS代码去偷Cookie利用XSS平台去偷(别人把自
SQL注入之重新认识(完结)
原文来自:https://www.freebuf.com/column/174974.html一.SQL注入简介所谓SQL注入,就是用户输入的内容被当做了数据库语句进行执行。二.常见存在SQL注入网站链接形式1.http://inject2.lab.aqlab.cn:81/Pass-01/****.?id=xx (ASP)2.http://inject2.lab.aqlab.cn:81/Pa
SQL注入总结(完结)
重!重!重!注入的写法是要看数据库类型的,除了Mysql的写法可以野一点外,其他的数据库,比如:Access、MSSQL、Oracle 都必须遵循常规的写法!一.判断是否存在注入点是否有注入点,决定了你是否能注入!若找不到注入点,就去尝试别的攻击手段!1.四种判断注入的基本写法or 2-1=1底层判断语句:select *from user where id=1‘ or 2-1=1 — qw
数据库注入(完结)
一.Access注入 — Cookie1.Cookie注入简介Cookie:代表身份的一串字符串,由此网站来识别你是谁。$_REQUEST[]:可以获取POST|GET|COOKIE传参。一般来说,都会对get或post传参进行拦截,这时候可以考虑对Cookie进行传参。Cookie的优先级比get、post高。php5.4以上版本不接受Cookie传参。注意:Cookie注入是一种特殊的传参