《网络安全0-100》HW1.11

本文涉及的产品
.cn 域名,1个 12个月
简介: 《网络安全0-100》HW1.11

fastjson漏洞利用原理?


A


在请求包里面中发送恶意的json格式payload,漏洞在处理json对象的时候,没有对@type字段进行过滤,从而导致攻击者可以传入恶意的Templateslmpl类,而 这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes生成java 实例,这就达到fastjson通过字段传入一个类,再通过这个类被生成时执行构造函数。


如何发现shiro漏洞?


A


登陆失败时候会返回rememberMe=deleteMe字段或者使用shiroScan被动扫描去发现


哪些漏洞会被高频A


a.ApacheShiro相关漏洞


b.Fastjson漏洞


c.Log4j


d.上传漏洞


e.边界网络设备资产+弱口令


工具篇题目


Q


你在渗透测试中常用到的工具?


A


信息收集


Nmap, Fofa, Shodan, zoomeye,站长工具,Bugscaner,潮汐指纹,云悉指纹,Censys, whatwebWTFScan,子域名挖掘机,dnsdist6, WAFw0Of, Fping, arping, nping,nbtscan,whois,Layer子域名收集工具,JSFindA


a.ApacheShiro相关漏洞


b.Fastjson漏洞


c.Log4j


d.上传漏洞


e.边界网络设备资产+弱口令


工具篇题目


Q


你在渗透测试中常用到的工具?


A


信息收集


Nmap, Fofa, Shodan, zoomeye,站长工具,Bugscaner,潮汐指纹,云悉指纹,Censys, whatwebWTFScan,子域名挖掘机,dnsdist6, WAFw0Of, Fping, arping, nping,nbtscan,whois,Layer子域名收集工具,JSFind抓包分析


Burp Suite,Wireshark,TrafficTools,fiddle r, hack firefox,proxifier,shadowsocks等端口扫描


Nmap, Zenmap,Masscan,御剑端口扫描工具,Hping3, Advanced_Port_Scanner,PortScan ,netscan tools,blackwater,Unicornscan,nast,Knocker,IPscan等


漏洞扫描


Nessus, AWVS, X-ray, Appscan, W3af, O penVAS,Skipfish,lynis, WPscan, Comod o HackerProof,Nexpose community,Vuln erability Manager Plus, Nikto等


目录扫描或爆破


Dirbuster,御剑目录爆破工具,dirsearch,dirb, ffuf, Dirmap,cansin, Wscan,


webdirscan,SourceLeakHacker,fuff等暴力破解er,wwwscan等er,wwwscan等利用于打点?


目录
相关文章
|
SQL 安全 Unix
《网络安全0-100》知识点1.7
《网络安全0-100》知识点1.7
131 0
|
SQL 运维 安全
《网络安全0-100》企业网络安全团队构想
《网络安全0-100》企业网络安全团队构想
200 0
|
JSON 安全 fastjson
《网络安全0-100》HW1.13
《网络安全0-100》HW1.13
91 0
|
存储 安全 JavaScript
《网络安全0-100》HW1.12
《网络安全0-100》HW1.12
83 0
|
安全 前端开发 JavaScript
《网络安全0-100》HW1.10
《网络安全0-100》HW1.10
62 0
|
SQL 编解码 安全
《网络安全0-100》HW1.8
《网络安全0-100》HW1.8
76 0
|
编解码 JavaScript 前端开发
《网络安全0-100》HW1.6
《网络安全0-100》HW1.6
121 0
|
SQL 安全 搜索推荐
《网络安全0-100》HW1.4
《网络安全0-100》HW1.4
79 0
|
域名解析 负载均衡 安全
《网络安全0-100》HW1.3
《网络安全0-100》HW1.3
207 0
|
3天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第39天】在数字化时代,网络安全和信息安全成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和方法来保护自己的信息安全。
14 2