渗透测试阶段信息收集完成后,需根据所收集的信息,扫描目标站点可能存在的漏洞,包括SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,然后通过这些已知的漏洞,寻找目标站点存在攻击的...
浅谈RASP安全防御技术
浅谈RASP安全防御技术 RASP介绍 RASP全称为Runtime application self-protection(运行时应用程序自我保护)。Gartner 在2014年应用安全报告里将RA...
【持续更新】渗透测试工具、导航合集
前言 表哥们一般都有自己强大的工具库,今天我也稍作整理,分享交流出来一部分 信息收集 dirbuster kali自带的一款工具,fuzz很方便 gorailgun 一款自动化做的非常好的工具,信息收...
Xcheck之Java安全检查引擎
Java安全检查引擎Xcheck的java安全检查引擎支持Spring RequestMapping、JAX-RS、WebService和Java Servlet几种常用web接口的代码安全检查,目前...
浅谈信息收集
浅谈信息收集写在前面信息收集对于渗透测试来说是很重要的,是渗透测试的前期准备工作,俗话说知己知彼,才能百战不殆。掌握了对目标的足够信息,我们才能更好地开展渗透测试。信息收集的方式可以分为两种:主动信息...
Cheetah V1.31 (更新接近接近两百个poc和exp以及一百个个渗透辅助脚本)
Cheetah V1.31这次更新主要是增加了一些功能的支持。增加了全局数组的导入,增加了一些细节功能,不列举了目前已经含有250个脚本了,当前含有的内容:__ __ __ / / / / | __ ...
RASP实践分析
一、RSAP简介1. Waf简介: 它采用请求特征检测攻击方式,waf和防火墙就好比如一座大厦门口的保安,你要进入大厦,waf和防火墙就会在你进入大厦时进行安检,检查到你携带违禁品,就会把你拦截下来,...
Xcheck之PHP代码安全检查
1 PHP安全检查引擎Xcheck的php引擎支持原生php的安全检查,也支持对国内主流框架编写的web应用进行安全检查,覆盖包括Thinkphp,Laravel,CodeIgniter,Yii,Ya...
你可能不知道的态势感知-snort
抱歉,来晚了!最近疫情又有点严重了,被迫在家办公,复现完漏洞,点开微信群看到群里小伙伴最近都在讨论态势感知系统,于是我有了写文章的冲动,哈哈哈,我又提起了笔杆子,说到态势感知不得不说说snort,现在...
SQLMAP详细参数详解
option 选项1:h 列出基础帮助信息并退出2:-hh 列出标准帮助信息并退出3:–version 列出应用版本号并退出(-h-hh用于查询基本帮助信息和全量帮助信息,基本帮助信息列举常用几个语句...