和风
和风

性别: 注册于 2021-06-22

向TA求助
58金币数
452 经验值
14个粉丝
主页被访问 10203 次

29 个回答

0 赞同

师傅们平时都在哪个网络安全网站或者社区学习划水啊

奇安信攻防社区、先知社区、freebuf、i春秋论坛

回答于 2021-09-09 19:45

1 赞同

有熟悉应急响应的师傅吗,你们都是怎么处理网页篡改

分析日志、历史记录、查看是从哪个点获取权限的,然后看攻击者操作了哪些指令,修改或者查看了哪些文件、目录等;如果网页被篡改了看网站有没有备份,有备份的话恢复最近备份的相关文件,或者修改被篡改的网页源码。

回答于 2021-09-09 19:43

9 赞同

【社区福利时间】好书推荐 | 《Java代码安全审计:入门篇》

在学校读的方向是软件编程,java这个语言也离不开我的课程范围内,不论是学好学校知识,还是学好安全,都需要一定能力的代码能力,我觉得这本书能带给我能力的巩固积累,提高我的代码审计能力,丰富owasp top10漏洞的代码审计思路。

回答于 2021-08-11 16:19

0 赞同

【2021BCS×补天 参与话题讨论赢三倍金币】您是否了解最新的漏洞...

1、不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。2、有必要提前发布的,要与相关网络产品提供者共同评估协商、向工业和信息化部、公安部报告,最后由工业和信息化部、公安部组织评估后发布。3、不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。4、不得刻意夸大网络产品安全...

回答于 2021-08-06 16:49

0 赞同

【2021BCS×补天 参与话题讨论赢三倍金币】您最擅长挖什么类型的...

比较擅长逻辑漏洞,在渗透测试工作中如果不能上多线程工具的话,还是会比较注重逻辑漏洞上的挖掘,喜欢在前台后台具有逻辑验证的页面进行测试,如前台的登录、注册、忘记密码、找回密码界面;后台的修改密码、修改数据等操作(顺便试下未授权访问、CSRF等漏洞)。

回答于 2021-08-06 10:24

0 赞同

盲打xss,打到管理账号密码,后台地址在内网,怎么样才能登录?...

可以试试看有没有ssrf漏洞可以利用

回答于 2021-08-02 13:50

0 赞同

任意文件上传需要getshell执行命令才有危害吗?

任意文件上传是指能够上传任意类型的文件,在前后端没有对上传的类型做任何的限制,这在平时的渗透测试工作中算是一个漏洞了。

回答于 2021-08-02 13:48

0 赞同

有没有可以连接3389端口执行单条命令的工具?

在meterpreter模块输入portfwd add -l 5555 -p 3389 -r 192.168.10.10 (靶机ip)在kali虚拟终端上输入rdesktop -u Administrator -p Windows2008 127.0.0.1:5555(-u 靶机用户名 -p靶机密码)

回答于 2021-07-22 16:44

0 赞同

请问师傅们除了SQLMAP之外,在平常分析注入的时候还会如何操作

如果是SQL注入的话,需要在动态页面寻找注入点,与数据库能够交互的一些点可能存在SQL注入,比如搜索框、登录框、页面跳转参数等,XSS注入可以看看搜索框和url上有没有XSS注入和DOM XSS注入。

回答于 2021-07-16 09:25

0 赞同

测试网站的时候,遇到数据包加密了如何测试

通过抓包进行一个分析,分析加密的方法,运用的是什么框架,对较为简单的加密方法可以进行一个复原和利用。

回答于 2021-07-07 15:46