web

信息收集主要是收集服务器的配置信息和网站的敏感信息，主要包括域名信息、子域名信息、目标网站信息、目标网站真实IP、目录文件、开放端口和服务、中间件信息、脚本语言等等等。结合各路大佬的收集经验，菜鸟总结了8种信息收集的方式，有不足之处，欢迎赐教，欢迎斧正。个人感觉重点是顺手的工具、有IP代理池、日常收…

1 、Web日志 Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析，不仅可以帮助我们定位攻击者，还可以帮助我们还原攻击路径，找到网站存在的安全漏洞并进行修复。 我们来看一条Apache的访问日志： 127.0.0.1 – – [11/Jun/20…

1、简介 FastAPI 是一个用于构建 API 的现代、快速（高性能）的 web 框架，使用 Python 3.6+ 并基于标准的 Python类型提示。 关键特性: 快速：可与 NodeJS 和 Go 比肩的极高性能（归功于 Starlette 和 Pydantic）。非常快的 Python w…

信息收集(Information Gathering)，信息收集是指通过各种方式获取所需要的信息。信息收集是信息得以利用的名列前茅步，也是关键的一步。信息收集工作的好坏，直接关系到整个信息管理工作的质量。 在实战中，前期的信息收集的完整性，很大一部分决定了在对网站进行的测试的成功几率，能够收集的越多…

jxwaf jxwaf(锦衣盾)是一款基于openresty(nginx+lua)开发的下一代web应用防火墙，独创的业务逻辑防护引擎和机器学习引擎可以有效对业务安全风险进行防护，解决传统WAF无法对业务安全进行防护的痛点。内置的语义分析引擎配合机器学习引擎可以避免传统WAF规则叠加太多导致速度变慢…

当前，随着信息网络的不断发展，人们的信息安全意识日益提升，信息系统的安全防护措施也逐渐提高，通常都会在服务器的互联网边界处部署防火墙来隔离内外网络，仅仅将外部需要的服务器端口暴露出来。采用这种措施可以大大的提高信息系统安全等级，对于外部攻击者来说，就像关闭了所有无关的通路，仅仅留下一个必要入口。 但…

文件上传功能模块 文件上传功能是大部分WEB应用的必备功能，网站允许用户自行上传头像、一些社交类网站允许用户上传照片、一些服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而，看似不起眼的文件上传功能如果没有做好安全防护措施，就存在巨大的安全风险。 文件上传漏洞原理…

JXWAF概述 JXWAF是一种开源的Web应用程序防火墙，可用于防护SQL注入漏洞，XSS漏洞，命令执行突破等OWASP常见攻击，CC攻击等，避免网站数据泄露，保障网站可用和安全性。 功能特性 1、Web应用攻击防护 基于语义识别防护引擎防御SQL注入，XSS攻击，Webshell添加，目录遍历扩…

关于Vajar Vajra是一个自动化的Web渗透测试框架，它可以帮助广大安全研究人员在Web应用程序渗透测试期间自动执行无聊的侦察任务以及针对多个目标的相同扫描。Vajra具有高度可定制特性，允许研究人员自定义扫描范围，我们无需针对目标执行所有的扫描，我们可以根据自己的需要来选择需要执行的扫描任务…

1、HTTP PUT方法利用 PUT是用来进行文件管理的方法，若运维人员未修改Web服务器缺省配置，依然支持这些方法，则可以向服务器文件系统任意上传文件。 1.1、 Netcat利用PUT方法 Netcat是一款非常出名的网络工具，简称“NC”,有渗透测试中的“瑞士**”之称。它可以用作端口监听、端…