- 博客(4)
- 收藏
- 关注
RSS订阅原创 XSS靶场通关
跨站脚本攻击(XSS) 是一种常见的Web安全漏洞,攻击者利用Web应用程序对用户输入检查不足的漏洞,将恶意脚本注入到网页中。当用户访问这些网页时,恶意脚本会在用户的浏览器中执行,从而窃取用户数据、弹出广告或篡改网页内容。本文是用docker拉取靶场实现会跳转到百度一、先拆分整体结构这个 URL 片段分为 3 个核心部分:plaintextphp?php:目标 PHP 脚本文件(比如 index.php、test.php)?
2026-04-19 20:55:51
374
原创 SSTI学习过程
c.__class__.__base__ <class'__main__.B'>当前类C的父类B。通过config.__class__.init__globals__['os'].popen('whoami'.read())3、my_str = request.args.get('ben')不要忘记@app.route('路径')url/通过{{url_for.__globals__.os.oppen('').read()}}在已经加载过OS模块的子类直接调用os模块。
2026-04-10 22:33:53
306
原创 XXE学习
xml是什么xml与html区别xml是标记语言,数据结构化之后传输,例如名字性别年龄<root>#根节点任何都可<man>#枝节点XML功能数据读取 标签无意义 传输存储数据 数据的内容HTML开发 标签预定义 显示数据数 据的外观没有任何行为的XML利用·DTD声明。
2026-04-01 23:17:50
282
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人