如何设计一套属于自己的API越权漏洞扫描平台?
如果写请求接口的级别过高,首先比较两个请求的返回是否一致。如果两个请求都成功并且回报一致,则可能存在越权的风险。例如,更新商品信息可能会返回商品不存在或未经授权的呼叫没有权限,或者可能都...
admin
网站漏洞扫描服务中的扫描建议分析
关于漏洞扫描服务中的解决方案:公网坚决扫,内网谨慎。按网络分类:互联网公开业务和内部网络业务。按照服务类型分类:网络类,高风险服务类,私人协议类。公共网络服务,业务必须接受安全检查,因为我们不扫,黑客...
Linux docker漏洞都有哪些?
关于Linux漏洞的那个实例中,我们提到了Docker,这是一种目前十分流行的虚拟化技术。Docker让开发者可以把他们的应用以及依赖打包到一个可移植的容器中,然后发布到任何流行的Linux机...
怎么查找网站的漏洞并修复
关于怎么找网站漏洞这个问题,现在基本可以分为两种情况。第一种是用自动化软件去扫描漏洞。很多网站安全公司都有自己的漏洞扫描软件,利用漏洞扫描软件就可以扫描和发现漏洞。但是软件毕竟是...
如何使用kali挖掘信息泄露漏洞
接下来,我们继续来挖掘信息,我们可以使用disp来扫描目录页面,然后访问对应的目录页面,挖掘对应的信息,尤其是对robots txt,按这样一个文件以及一些其他类型的目录进行访问,...
如何使用kali工具来挖掘漏洞
比如说咱们开放HTTP服务,那么咱们就可以来查看一下HTTP服务当中的敏感页面,挖掘敏感信息,找到可利用的位置。咱们这时候回到kali当中。咱们看敏感信息当中,有哪些信息可以看到,咱们一直...
如何使用sql注入漏洞挖掘用户名和密码
咱们也可以看到这个工具的安全性检测这个进度条还是非常快,表示它的速度也是非常快的,咱们现在已经到了70%多,咱们需要静静的等待这个扫描的完成,这时候咱们扫描完成之后,会主动跳转到al...
CTF比赛之目录遍历漏洞介绍
我们来学习一下ctf训练当中的web安全里的目录遍历漏洞,我们通过目录遍历漏洞最终获得主机的root权限取得对应的flag。那么,咱们首先来介绍一下目录遍历漏洞,目录遍历漏洞又称为路...
namp怎么操作探测网站及服务器的信息
这里我们使用nmap。加-t 将杠大a 加上杠小v 之后加上靶场IP地址,对其进行全部信息探测。这里的杠大t4代表使用nmap最大线程数。进行对靶场的扫描,也就是以最快的速度对靶场...
渗透网站挖掘漏洞的思路分享
那今天的话其实也主要是分享一下web层面的一个漏洞的一个渗透思路,我是第一步先上来,肯定是先做一个目录,扫描那目录,扫描用什么工具, Dir map可以用也可以用我们国产的,像...