108 个回答
【网络安全一百问-20】哪些地方容易出现SQL注入?
常见出现sql注入的地方:1、涉及增删改查的地方都可能出现sql注入2、登录框也是容易出现sql注入的地方
回答于 2022-08-19 16:45
【网络安全一百问-19】SQL注入主要有哪些危害点?
危害:(1)会造成数据库信息泄露,暴露用户和管理员的隐私;数据库可能会被恶意操作,具体包括数据库服务器被攻击,管理员账户被恶意篡改等;(2)操作数据库对网页进行篡改,修改数据库中的值从而被嵌入恶意链接;(3)通过SQL注入漏洞直接获取webshell或者执行命令导致服务器系统权限被获取
回答于 2022-08-19 16:37
【网络安全一百问-34】文件包含漏洞绕过技巧
本地文件包含漏洞绕过:1. %00截断2. 路径长度截断 Windows下目录最大长度为256字节,超出的部分会被丢弃; Linux下目录最大长度为4096字节,超出的部分会被丢弃。3. 点号截断远程文件包含漏洞:1. 问号绕过2. #号绕过
回答于 2022-08-19 16:33
【网络安全一百问-33】文件包含漏洞的成因是什么?
文件包含漏洞是代码注入的一种。在包含文件时候,为了灵活包含文件,将被包含文件设置为变量,通过动态变量来引入需要包含的文件时,用户可以对变量的值可控而服务器端未对变量值进行合理地校验或者校验被绕过,这样就导致了文件包含漏洞。通常文件包含漏洞出现在 PHP 语言中。常见的文件包含的函数如下:PHP:include() 、...
回答于 2022-08-19 16:26
【网络安全一百问-47】网络入侵检测的优缺点是什么?
优点:1. 能够检测那些来自网络的攻击和超过授权的非法访问。2. 风险低。3. 配置简单缺点:1. 误 / 漏报率高。2. 没有主动防御能力。3. 缺乏准确定位和处理机制。
回答于 2022-08-19 16:16
【网络安全一百问-51】SQL注入的几种类型是
SQL注入的分类有几种分法:1、常见的按参数类型分为数字型、字符型;2、按页面回显又分为回显注入和盲注,其中回显又分为回显正常和回显报错(报错注入),盲注分为时间盲注和布尔盲注3、按提交方式不同的分为get注入、post注入、cookie注入
回答于 2022-08-19 16:05
【网络安全一百问-18】Web渗透测试常见的工具有哪些
常用的工具:抓包、该包、爆破工具:burpsuite (Proxifier 和 fiddler常与 burpsuite搭配使用)SQL注入测试工具:啊D注入工具、Sqlmap、明小子子域名收集工具:Layer子域名挖掘机、ksubdomain、subDomainsBrute真实IP寻找工具:Xcdn端口:Masscan、Nmap指纹识别工具:Wappalyzer插件、云悉、EHoleJS接口:JSFinder、LinkFin...
回答于 2022-08-12 21:36
【网络安全一百问-15】设置攻击载荷的命令是什么?
MSF中设置攻击载荷:set payload windows/x64/meterpreter/reverse_tcp
回答于 2022-08-12 21:19
【网络安全一百问-7】什么是黑盒扫描?
黑盒扫描区别于白盒扫描,黑盒扫描没有主机操作权限,只能根据指纹判断出服务的类型和版本,再根据该版本服务已有的漏洞判定方式来判断出是否存在漏洞。
回答于 2022-08-12 21:17
【网络安全一百问-4 】GET和POST的区别
GET和POST的区别:1、GET请求是向服务器请求数据,POST请求是向服务器提交数据;2、GET请求的参数通过url传递,而POST请求的参数放在请求体里面;3、GET请求在浏览器回退时是无害的,而POST请求会再次提交请求;4、GET请求的参数会被完整保留在浏览器历史记录里,而POST中的参数不会被保留5、GET请求比POST请求更加不安全,...
回答于 2022-08-12 17:37