《网络安全0-100》HW1.11

简介: 《网络安全0-100》HW1.11

fastjson漏洞利用原理?


A


在请求包里面中发送恶意的json格式payload,漏洞在处理json对象的时候,没有对@type字段进行过滤,从而导致攻击者可以传入恶意的Templateslmpl类,而 这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes生成java 实例,这就达到fastjson通过字段传入一个类,再通过这个类被生成时执行构造函数。


如何发现shiro漏洞?


A


登陆失败时候会返回rememberMe=deleteMe字段或者使用shiroScan被动扫描去发现


哪些漏洞会被高频A


a.ApacheShiro相关漏洞


b.Fastjson漏洞


c.Log4j


d.上传漏洞


e.边界网络设备资产+弱口令


工具篇题目


Q


你在渗透测试中常用到的工具?


A


信息收集


Nmap, Fofa, Shodan, zoomeye,站长工具,Bugscaner,潮汐指纹,云悉指纹,Censys, whatwebWTFScan,子域名挖掘机,dnsdist6, WAFw0Of, Fping, arping, nping,nbtscan,whois,Layer子域名收集工具,JSFindA


a.ApacheShiro相关漏洞


b.Fastjson漏洞


c.Log4j


d.上传漏洞


e.边界网络设备资产+弱口令


工具篇题目


Q


你在渗透测试中常用到的工具?


A


信息收集


Nmap, Fofa, Shodan, zoomeye,站长工具,Bugscaner,潮汐指纹,云悉指纹,Censys, whatwebWTFScan,子域名挖掘机,dnsdist6, WAFw0Of, Fping, arping, nping,nbtscan,whois,Layer子域名收集工具,JSFind抓包分析


Burp Suite,Wireshark,TrafficTools,fiddle r, hack firefox,proxifier,shadowsocks等端口扫描


Nmap, Zenmap,Masscan,御剑端口扫描工具,Hping3, Advanced_Port_Scanner,PortScan ,netscan tools,blackwater,Unicornscan,nast,Knocker,IPscan等


漏洞扫描


Nessus, AWVS, X-ray, Appscan, W3af, O penVAS,Skipfish,lynis, WPscan, Comod o HackerProof,Nexpose community,Vuln erability Manager Plus, Nikto等


目录扫描或爆破


Dirbuster,御剑目录爆破工具,dirsearch,dirb, ffuf, Dirmap,cansin, Wscan,


webdirscan,SourceLeakHacker,fuff等暴力破解er,wwwscan等er,wwwscan等利用于打点?


相关实践学习
基于函数计算快速搭建Hexo博客系统
本场景介绍如何使用阿里云函数计算服务命令行工具快速搭建一个Hexo博客。
目录
相关文章
|
10月前
|
SQL 安全 Unix
《网络安全0-100》知识点1.7
《网络安全0-100》知识点1.7
93 0
|
10月前
|
SQL 运维 安全
《网络安全0-100》企业网络安全团队构想
《网络安全0-100》企业网络安全团队构想
147 0
|
10月前
|
JSON 安全 fastjson
《网络安全0-100》HW1.13
《网络安全0-100》HW1.13
63 0
|
10月前
|
存储 安全 JavaScript
《网络安全0-100》HW1.12
《网络安全0-100》HW1.12
60 0
|
10月前
|
安全 前端开发 JavaScript
《网络安全0-100》HW1.10
《网络安全0-100》HW1.10
41 0
|
10月前
|
SQL 编解码 安全
《网络安全0-100》HW1.8
《网络安全0-100》HW1.8
57 0
|
10月前
|
编解码 JavaScript 前端开发
《网络安全0-100》HW1.6
《网络安全0-100》HW1.6
89 0
|
10月前
|
SQL 安全 搜索推荐
《网络安全0-100》HW1.4
《网络安全0-100》HW1.4
56 0
|
10月前
|
域名解析 负载均衡 安全
《网络安全0-100》HW1.3
《网络安全0-100》HW1.3
149 0
|
19小时前
|
安全 算法 网络安全
网络安全与信息安全:保护你的数据,保护你的世界
【5月更文挑战第12天】在数字化的世界中,网络安全和信息安全已经成为我们生活的重要组成部分。本文将深入探讨网络安全漏洞、加密技术以及安全意识等方面的问题,帮助读者更好地理解和保护自己的数据。我们将讨论如何识别和防止网络安全威胁,如何使用加密技术来保护信息,以及如何提高自己的安全意识,从而在网络世界中更安全地生活。