分析日志、历史记录、查看是从哪个点获取权限的,然后看攻击者操作了哪些指令,修改或者查看了哪些文件、目录等;如果网页被篡改了看网站有没有备份,有备份的话恢复最近备份的相关文件,或者修改被篡改的网页源码。
回答于 2021-09-09 19:43
在学校读的方向是软件编程,java这个语言也离不开我的课程范围内,不论是学好学校知识,还是学好安全,都需要一定能力的代码能力,我觉得这本书能带给我能力的巩固积累,提高我的代码审计能力,丰富owasp top10漏洞的代码审计思路。
回答于 2021-08-11 16:19
1、不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。2、有必要提前发布的,要与相关网络产品提供者共同评估协商、向工业和信息化部、公安部报告,最后由工业和信息化部、公安部组织评估后发布。3、不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。4、不得刻意夸大网络产品安全...
回答于 2021-08-06 16:49
比较擅长逻辑漏洞,在渗透测试工作中如果不能上多线程工具的话,还是会比较注重逻辑漏洞上的挖掘,喜欢在前台后台具有逻辑验证的页面进行测试,如前台的登录、注册、忘记密码、找回密码界面;后台的修改密码、修改数据等操作(顺便试下未授权访问、CSRF等漏洞)。
回答于 2021-08-06 10:24
任意文件上传是指能够上传任意类型的文件,在前后端没有对上传的类型做任何的限制,这在平时的渗透测试工作中算是一个漏洞了。
回答于 2021-08-02 13:48
在meterpreter模块输入portfwd add -l 5555 -p 3389 -r 192.168.10.10 (靶机ip)在kali虚拟终端上输入rdesktop -u Administrator -p Windows2008 127.0.0.1:5555(-u 靶机用户名 -p靶机密码)
回答于 2021-07-22 16:44
如果是SQL注入的话,需要在动态页面寻找注入点,与数据库能够交互的一些点可能存在SQL注入,比如搜索框、登录框、页面跳转参数等,XSS注入可以看看搜索框和url上有没有XSS注入和DOM XSS注入。
回答于 2021-07-16 09:25