问题标签 [penetration-testing]

snmpenum.pl在许多关于渗透测试的材料中都有介绍，尽管它已经是一个非常古老的程序。

我从这里下载了它。

这就是我遇到的问题。

我对Perl一无所知。谁能告诉我linux.txt是否有问题或真正的问题出在哪里？谢谢。

我在我的网站中发现了一个 XSS 漏洞。我正在使用 ZAP 进行漏洞扫描。"><script>alert(1);</script> 从 ZAP 我发现了一个显示字符串警报的警报。

它提到的路径是我网站的注册页面。该页面上有几个下拉菜单。

例如：在选择国家的下拉菜单中，我保留了所有国家的选项。和“未找到匹配项”用于错误的文本。

如果我想在该下拉菜单上执行 XSS，当我输入字符串时"><script>alert(1);</script>

它给出错误“未找到匹配”，

您能告诉我如何在输入字符串时成功获得警报"><script>alert(1);</script>吗？

我已经在我的网页中编写了一个登录程序，现在我想针对字典攻击对其进行测试。我正在使用 Apache 并且我的网站不在线所以要访问它我连接到 localhost/website 在 hydra 我正在使用命令

hydra -l username -P passList.txt localhost/website http-post-form "/logIn.php:user=^USER^&pass=^PASS:forgot"

但它以错误终止

[DATA] attacking service http-post-form on port 80 [ERROR] could not resolve address: localhost/website 0 of 1 target completed, 0 valid passwords found [ERROR] 1 target did not resolve or could not be connected 问题是什么？

对于 pt，我需要绕过 iOS 应用程序中的 JailBreak 检测。我已经修补/更改了它的几个相关部分，例如它在哪里检测 cydia 等。然后上传回 iDevice 以发现它正在崩溃。

我是否需要签名——即使是在越狱手机上？如果可以，我可以自己签名吗？

或者我做错了什么？

会欣赏你的意见

我在 PT 中间，应用程序正在检查 JailBreak，它启动得越快，用户看到的第一个屏幕是 Alert that application is Jailbroken，然后单击 OK 退出。

我的问题：有没有办法在应用程序启动之前附加 Cycript 或使用 Cycript 启动应用程序，因为当应用程序已经调用它并且我处于关闭状态时，更改方法似乎很晚。

请指教。

或建议如果我可以使用 GDB 运行应用程序，而不是稍后附加该进程 - 这里同样的问题，在运行应用程序后附加到 gdp 为时已晚，因为 JailBroken 的决定已经完成。

我需要对 IT 学校项目进行渗透测试。这是执行登录的代码。谁能解释一下如何绕过此代码。

这里可以使用什么样的注入攻击。请解释一下，我是新手。提前致谢

我正在使用 OWASP 的 ZAP 工具进行漏洞扫描，它显示“安全页面浏览器缓存”漏洞的警报。以下是 ZAP 警报的详细信息：

风险：中等 可靠性：警告

描述：安全页面可以缓存在浏览器中。HTTP 标头和 HTML 标头中均未设置缓存控制。敏感内容可以从浏览器存储中恢复。

解决方案：最好的方法是设置 HTTP 标头：'Pragma: No-cache' 和 'Cache-control: No-cache'。或者，这可以通过以下方式在 HTML 标头中设置：但某些浏览器使用此方法可能会遇到问题。

你能告诉我这个漏洞如果不修复将如何影响我的应用程序，以及攻击者将如何使用它来破解应用程序。

我正在对一个 Web 应用程序进行渗透测试，我需要在一个 URL 中连接两个函数。（是的，我已经检查过这个和这个）

我将采用完全相同的代码，因为我不明白为什么像这样的合法问题没有正确答案。（psst，不是后门什么的）

有没有可能创造出这样的东西？ http://localhost/?function=shell_exec('ls') AND phpinfo

感谢您的帮助，我希望这次有人会认真对待一个合法的问题，而不是无缘无故地把它投到地狱。

我正在寻找 Web 应用程序，我可以在这些应用程序上尝试我的论文渗透测试技能。也许 OWASP 提供了一些，但我找不到。有人有想法吗？

我在 Stack Overflow 上阅读了很多关于如何通过使用准备好的语句来防止 SQL 注入的文章

但是有没有办法在准备好的语句上进行 SQL 注入，或者它是 100% 安全的吗？

下面是我的java代码

我尝试了一些sql注入查询，例如

一些输入：

我还尝试了更多查询，但由于（单引号）'被转义（/'），所有 SQL 注入查询似乎都不起作用。

如果有任何 SQL 注入查询/技术可用于在上述代码中进行 SQL 注入，请建议我。