渗透测试

概念 内容安全策略(Content Security Policy 简称 CSP)是一种额外的安全层，用于检测和减轻某些类型的攻击，如跨站脚本攻击( XSS )和数据注入攻击等。 CSP通过限制外部资

概述 渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估，与黑客攻击不一样的是，渗透测试的目的是尽可能多地发现安全漏洞，而真实黑客攻击只要发现一处入侵点即可以进入目标系统。 渗透测试

安装 nc常用选项 nc端口扫描 nc远控 实验环境 正向控制 正向控制是指被控端主动设置监听端口及bash环境，控制端主动连接并取得shell，通俗点说就是靶机自己绑定某个端口，等攻击机连接后将收到

判断SQL注入的点 黑盒测试注入点寻找 通常web入侵是黑盒测试，而我们又无法拿到系统的登录帐号和密码，因此一般只能在登录画面寻找注入点或不需要登录的公开页面，类似新闻详情页、搜索页、通知公告页 白盒

XSS概述 XSS，跨站脚本攻击(Cross Site Scripting，以下简称XSS)。XSS(跨站脚本攻击)是指攻击者在网页中嵌入客户端脚本(如JavaScript)，当用户浏览此网页时，脚本

跨域概述 跨域(Cross-Origin Resource Sharing，简称 CORS)是指在浏览器上运行的Web应用程序试图通过XMLHttpRequest或Fetch API等方式向不同源的服

SQL注入绕过 双写绕过 使用str_replace函数将select、and、or、union等替换成空字符串，因此使用双写的方式，就算str_replace将select、and、or、union

CSRF概述 CSRF (Cross-Site Request Forgery) 跨站请求伪造，也可称为一键式攻击 (one-click-attack)，通常缩写为 CSRF 或者 XSRF。 CSR