Melon
2019-12-26T06:50:15.563Z
http://yoursite.com/
John Doe
Hexo
渗透测试面试总结(五)
http://yoursite.com/2019/12/25/渗透测试面试试题(五)/
2019-12-25T00:00:11.000Z
2019-12-26T06:50:15.563Z
<p>关于面试的一些总结。</p>
渗透测试面试总结(四)
http://yoursite.com/2019/12/24/渗透测试面试试题(四)/
2019-12-23T23:00:11.000Z
2019-12-25T11:12:35.159Z
<p>关于面试的一些总结。</p>
渗透测试面试总结(三)
http://yoursite.com/2019/12/23/渗透测试面试试题(三)/
2019-12-23T07:00:11.000Z
2019-12-25T09:45:29.070Z
<p>关于面试的一些总结。</p>
渗透测试面试总结(二)
http://yoursite.com/2019/12/22/渗透测试面试试题(二)/
2019-12-22T05:00:11.000Z
2019-12-25T09:45:33.932Z
<p>关于面试的一些总结。</p>
渗透测试面试总结(一)
http://yoursite.com/2019/12/21/渗透测试面试试题(一)/
2019-12-21T07:37:11.000Z
2019-12-22T04:59:34.679Z
<p>关于面试的一些总结。</p>
Docker的一些使用
http://yoursite.com/2019/12/20/Docker的一些使用/
2019-12-19T23:50:11.000Z
2019-12-20T16:19:05.904Z
<p>Docker 是一个开源的应用容器引擎,基于 <a href="https://www.runoob.com/go/go-tutorial.html" target="_blank" rel="noopener">Go 语言</a> 并遵从 Apache2.0 协议开源。</p>
<p>Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。</p>
<p>容器是完全使用沙箱机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。</p>
关于Docker的可视化
http://yoursite.com/2019/12/18/关于Docker可视化/
2019-12-18T05:50:11.000Z
2019-12-18T09:15:11.078Z
<p>Docker 是一个<a href="https://baike.baidu.com/item/开源/246339" target="_blank" rel="noopener">开源</a>的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的 <a href="https://baike.baidu.com/item/Linux" target="_blank" rel="noopener">Linux</a>或Windows 机器上,也可以实现<a href="https://baike.baidu.com/item/虚拟化/547949" target="_blank" rel="noopener">虚拟化</a>。容器是完全使用<a href="https://baike.baidu.com/item/沙箱/393318" target="_blank" rel="noopener">沙箱</a>机制,相互之间不会有任何接口。</p>
CSRF总结
http://yoursite.com/2019/12/17/CSRF/
2019-12-17T00:37:11.000Z
2019-12-17T01:37:13.083Z
<p>CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:<br>攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。</p>
跨站脚本攻击(XSS)
http://yoursite.com/2019/12/16/跨站脚本漏洞(XSS)/
2019-12-16T00:23:59.000Z
2020-01-14T03:35:42.041Z
<p>XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。文章讲会从代码层面讲解XSS还有一些Payload。</p>
SSRF总结
http://yoursite.com/2019/12/15/SSRF/
2019-12-15T05:50:11.000Z
2019-12-15T15:56:37.632Z
<p>SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)</p>
序列化与反序列化
http://yoursite.com/2019/12/14/反序列化漏洞/
2019-12-14T00:50:11.000Z
2019-12-14T15:22:32.712Z
<p>漏洞:通常情况下不影响软件的正常功能,但如果被攻击者利用,有可能驱使软件去执行一些额外的恶意代码,从而引发</p>
<p>内存中的数据对象只有转换成二进制才可以进行数据持久化和网络传输。将数据对象转换成二进制的流程称之为对象的序列化(Serialization)。反之,将二进制流恢复为数据对象的过程称之为反序列化(Deserialization)。序列化需要保留充分的信息以恢复数据对象,但是为了节省存储空间和网络带宽,序列化后的二进制流又要尽可能的小。</p>
WEB渗透测试之漏洞挖掘
http://yoursite.com/2019/12/13/渗透测试之漏洞挖掘/
2019-12-13T05:23:58.000Z
2019-12-22T11:42:08.040Z
<p>漏洞:通常情况下不影响软件的正常功能,但如果被攻击者利用,有可能驱使软件去执行一些额外的恶意代码,从而引发严重的后果。最常见的漏洞有缓冲区溢出漏洞、整数溢出漏洞、指针覆盖漏洞等。</p>
WEB渗透测试之信息收集
http://yoursite.com/2019/12/12/渗透测试之信息收集/
2019-12-12T03:50:11.000Z
2019-12-17T02:48:42.930Z
<p>搞渗透的人应该都清楚,给一个目标站点做测试,第一步就是信息收集,通过各种渠道和手段尽可能收集到多的关于这个站点的信息,帮助我们更多的去找到渗透点。而信息收集的方式有很多,大致有搜索引擎、域名注册网站、shodan、github信息收集工具、网站公告等等,甚至还有社工的方式。</p>
JsWebshell
http://yoursite.com/2019/12/11/JSshell/
2019-12-11T07:50:11.000Z
2019-12-11T08:53:13.332Z
<p>在目标站有可写的html点时可以使用</p>
BadUsb
http://yoursite.com/2019/04/19/BadUsb/
2019-04-19T09:28:54.000Z
2019-12-15T14:21:04.726Z
<p>在2014年美国黑帽大会上,柏林SRLabs的安全研究人员JakobLell和独立安全研究人员Karsten Nohl展示了他们称为“BadUSB”(按照BadBIOS命名)的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。</p>