web安全原理剖析
- burp suite与nmap
burp suite软件教学和nmap软件教学,可以自行搜索。一般靠谱点的教程都可以胜任。
需要注意的是nmap不仅仅是一个端口扫描工具,它还是一个渗透测试工具,这体现在它的/nmap/scripts路径下的脚本里。
大部分的人对于nmap的认知只停留在了端口扫描这个层次上面。其中的-A 参数就足已表示,使用进攻性方式扫描。
而在它的脚本路径中的脚本,更具有进攻性,如模糊测试,DOS攻击,已知EXP攻击等。
更多扫描脚本的使用方法可参见,官网:https://nmap.org/nsedoc/categories
关于kali自带的社区版burp,除了设置软件和浏览器的代理之外,还需要导入证书到浏览器中,参考资料:https://blog.csdn.net/Wu000999/article/details/81981249
- 手动与工具,SQL注入的基础
有了工具为何学手动?因为,通过对手动的理解可以修改工具的配置,加强工具的进攻性,让企业安全得到更有效的保障。
而不是依赖工具。我们需要知道每一个过程。
SQL注入基础,漏洞银行的《web安全扫盲》篇中,足已胜任这方面的知识。出于倾旋快出道的作品。https://www.bugbank.cn/live/
目前已就职于360,活跃于slack协调软件中,博客也是他的一个活跃点,受环境影响,可能slack中他表现得更加的诚实一点。
您在掌握基本的SQL教学以后,已kali为例,需要知道所有的攻击载荷在哪里,读一读:/usr/share/sqlmap/data/xml/
观察一下,结合基础,就可以回过头到理论上继续测试自己想出来的东西,进一步修改配置文件,新的方法就此诞生。
由此可以发现,中国大学的MOOC课程里的北京理工大学,开设的《Python语言程序设计》提及,python同时还是一门黑客攻防语言,是一语点到了核心上面,毫无虚言。
- MySQL关键性结构
5.0版本以后,默认有一个information_schema数据库,三个关键性的表:SCHEMATA,TABLES,COLUMNS