请选择 进入手机版 | 继续访问电脑版

女黑客安全网-零基础入门网络安全学习-渗透测试零基础入门学习

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 280|回复: 0

必火网咯安全培训面试题第二波

[复制链接]

127

主题

142

帖子

1134

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
1134
发表于 2019-7-27 16:33:04 | 显示全部楼层 |阅读模式
1.什么是伪静态,怎么区分。
伪静态:
伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。就是展示出来的是以html一类的静态页面形式,但其实是用ASP一类的动态脚本来处理的
伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。就是展示出来的是以html一类的静态页面形式,但其实是用ASP一类的动态脚本来处理的
判断方法:
ie 浏览器
打开你要判断的网站 在地址栏上输入javascript:alert(document.lastModified),此方法可以判断一个网站的最新更新时间 如果这个时间和当前时间一样 说明为伪静态 反之 则不是(已测试)
火狐浏览器
打开你要判定的网站 进入firefox  的控制台  工具-错误控制台  快捷键shift+ctrl+j  然后在控制台里输入 javascript:alert(document.lastModified) 查看最后修改时间并记录
接下来关闭控制台 重新刷新页面 在用相同的方法 在控制台里输入查询语句 在查看文件的最后修改时间 联讯几次如果发现时间不同 则可以判断为伪静态
2.sql注入绕过单引号限制
  (1)利用转义字符处理sql语句
  (2)
3.绕过安全狗最新版(2015)
(1)内联注释
(2)字符编码
(3)MySQL下可以利用数据库和web端的差异绕过。and 1=1不行,但%A0and 1=1却可以,这个现在也可以用,具体为什么就不多讲了,还是那句话,拒绝伸手。
上传绕过:
  BP抓包修改类型
4.给一个公网IP 80 跟 443 怎么渗透
   首先80是一个网址,可以从网址入手
  443可以采用心脏滴血进行渗透
5.windows 跟 Linux 讲过什么
  windows:cmd命令,安全策略,IIs服务器中的服务搭建 (dns dhcp等)
  Linux:shell命令跟一些我忘了。
6.mysql数据库如何绕过
要同时闭合前面的单引号,并注释掉后面的单引号

payload:
http://localhost/injection/user.php?username=0x61646d696e2723
(admin'#  -->  0x61646d696e2723 )
7.产生sql注入的原因
sql注入参数未进行过滤,或者sql语句执行没有提前参数化


必火网络安全培训,北京实地培训,月月有开班,零基础入门,四个月打造渗透高手。
详情请加微信:18622800700,手机微信同号。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|女黑客安全网-零基础入门网络安全学习-渗透测试零基础入门学习 ( 津ICP备17008032号-3 )版权所有:一极(天津)安全技术服务有限公司

GMT+8, 2019-8-19 10:19 , Processed in 0.021760 second(s), 20 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表