Web安全小结

最近准备花一点时间，重新梳理一下自己的技术栈，不能让以前做的实验，都搞忘记了，最近联合面试了几个AI安全交叉研究员，多领域开花这种模式确实很创新，让人眼前一亮，却发现一些CTF获奖的求职者，明明才过去不到2年，已经完全不记得自己做过什么，只留下简历上的曾获得某某信息安全夺旗比赛x等奖，作为一个普通人，交叉领域出成绩，确实是一件非常困难的事情，这时候终于能够感同身受了。

手动SQL注入：错误注入、布尔注入、Union注入、盲注

自动SQL注入：SQLMap的使用

• ailx10：萌新の入场：Web安全实验课-4(sql 注入)
• ailx10：【Web-南邮CTF】Web-CTF入门第3天
• ailx10：【Web-南邮CTF】Web-CTF入门第6天
• ailx10：sqlmap探瓜001
• ailx10：手把手带你学习SQLMAP
• ailx10：SQLMap入门：渗透靶场

手动XSS注入：反射型、存储型弹窗

自动XSS注入：BeEF框架的使用

• ailx10：萌新の入场：Web安全实验课-2(xss & csrf)
• ailx10：【前端黑客】XSS入门
• ailx10：反射型XSS案例

代理 BurpSuite fiddler （代理拦截数据包）

• ailx10：手把手带你学习BurpSuite
• ailx10：手机抓包改包神器Fiddler简介

在线暴力破解 hydra medusa（弱口令暴力破解成功）

• Web安全入门

离线暴力破解 fcrackzip join（弱口令暴力破解成功）

• ailx10：ZIP加密文件破解：fcrackzip简介
• ailx10：ZIP加密文件破解：john简介

拒绝服务 LOIC AnonymousDoser Slowloris rudy（测试单点拒绝服务）

• ailx10：LOIC低轨道离子拒绝服务攻击
• ailx10：rudy慢速http拒绝服务攻击
• ailx10：DDoS测试工具研究-1

漏扫 AWVS nessus nikto zgrab （测试漏洞扫描工具）

• ailx10：AWVS13开箱体验
• ailx10：Nessus漏扫软件安装
• ailx10：Nikto漏洞扫描工具简介
• ailx10：zgrab扫描神器简单应用

Webshell 中国菜刀 蚁剑（测试连接webshell）

• ailx10：PHP语义引擎设计
• ailx10：webshell蚁剑使用体验

蜜罐 HFish Glastopf （搭建蜜罐）

• ailx10：HFish开源蜜罐框架系统
• ailx10：手把手搭建Web蜜罐Glastopf

最后也轻轻尝试了一下，在漏洞挖掘中的一点小成绩，慢慢加油～

在补天漏洞平台上提交1个漏洞：

• 知乎某社区xss漏洞：QTVA-2018-867959（中危）

在漏洞盒子平台上提交2个漏洞：

• 合肥老乡鸡-H3C小贝路由器后台弱口令可导致断网：vulbox-2019-0200423（中危）
• 远程桌面协议RDP拒绝访问漏洞(MS12-020)：vulbox-2019-0191084（高危）