![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
TOP10漏洞
文章平均质量分 76
总结了web的top10漏洞。
网络安全电子信息
大三考研党-本科计算机科学与技术-大二开始学习网络安全,目标北京某211
展开
-
一篇文章教你学会文件包含漏洞
文件包含漏洞是一种常见的安全漏洞,攻击者可以利用这个漏洞,通过应用程序包含不可信的外部文件,从而实现任意代码执行、敏感信息泄露、拒绝服务等攻击。文件包含漏洞通常是由于应用程序在包含文件时没有对用户输入进行过滤或者验证,导致攻击者可以通过构造恶意输入,实现包含任意文件的攻击。动态的去包含文件,但是没有对文件名和内容进行校验,从而造成成命令的执行。2.有的文件被某网页调用,那么这个网页就有可能。中级:把http,https,../换成空。四、常见的文件包含函数。高级:用file伪协议。原创 2024-06-21 19:02:20 · 104 阅读 · 0 评论 -
一篇文章教你学会XXE漏洞
XXE漏洞触发点往往是可以上传xml文件的位置,没有对xml文件进行过滤,导致可加载恶意外部文件和代码,造成任意文件读取,命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。XML和HTML语言都是编程语言,他们的区别是XML语言的标签可以自定义,HTML语言的标签只能用本来就有的。XXE全称为XML External Entity Injection即XMl外部实体注入漏洞。用bp抓包,把写好的XML语句放进包里面。通过外部实体有回显地读取本地敏感文件。原创 2024-06-21 18:34:51 · 188 阅读 · 0 评论 -
一篇文章教你学会SQL注入漏洞
1w字文章,本文包括数据库基础知识、sql注入基础、利用、绕过。包括联合注入、报错注入、布尔注入、延时注入、堆叠注入、二次注入、宽字节注入、http头部注入原创 2024-06-22 20:52:11 · 842 阅读 · 2 评论 -
一篇文章教你学会XSS跨站脚本攻击漏洞
Cross Site Scripting,XSS是指通过在浏览器内运行非法的HTML标签或javascript。原创 2024-06-22 13:01:29 · 269 阅读 · 0 评论 -
一篇文章教你学会PHP反序列化漏洞
Ⅰ、PHP反序列化漏洞Ⅰ、PHP反序列化漏洞一、序列化函数反序列化漏洞是基于序列化和反序列化的操作,在反序列化——unserialize()时存在用户可控参数,而反序列化会自动调用一些魔术方法,如果魔术方法内存在一些敏感操作例如eval()函数,而且参数是通过反序列化产生的,那么用户就可以通过改变参数来执行敏感操作,这就是反序列化漏洞。php 将数据序列化和反序列化会用到两个函数:(serializ:将对象格式化成有序的字符串-----unserialize:将字符串还原成原来的对象)原创 2024-06-22 13:31:13 · 774 阅读 · 0 评论 -
一篇文章教你学会RCE代码&命令执行漏洞
命令执行(Command Injection)指在某些开发需求中,需要引入对系统本地命令(比如system)的支持来完成某些特定的功能。当开发未对用户传入的参数进行严格的校验、过滤时,则很有可能会产生命令注入。代码执行(Remote Code Execute)应用程序在调用一些能够将字符串转换为代码的函数(如PHP中的eval)时,没有考虑用户是否控制这个字符串,将造成代码执行漏洞。代码执行危害:根据服务器语言不同,可导致PHP、Java、Python等任意代码执行。1. 命令执行漏洞描述。原创 2024-06-22 13:27:00 · 230 阅读 · 0 评论 -
一篇文章教你学会SSRF漏洞
1.1w字文章,包括SSRF漏洞介绍、原理、攻击和利用方式、SSRF利用的协议、常见的漏洞函数、可能出现漏洞的点、SSRF的危害、SSRF的防御、SSRF绕过bypass、SSRF的优势、SSRF漏洞绕过方法、常用常见限制及绕过方法、SSRF修复建议、漏洞演示、SSRF利用的原创 2024-06-22 12:53:35 · 961 阅读 · 0 评论 -
一篇文章教你学会CSRF漏洞
CSRF漏洞的概念、形成原因、利用条件、防御手法、检测手法、利用点、用途原创 2024-06-22 13:09:17 · 125 阅读 · 0 评论 -
一篇文章教你学会文件上传漏洞
小马体积非常小,只有2KB那么大,隐蔽性也非常的好,因为小马的作用很简单,就是一个上传功能,就没有其它的了,它的作用仅仅是用来上传文件,所以也能过一些安全扫描。小马是为了方便上传大马的,因为很多漏洞做了上传限制,大马上传不了,所以就只能先上传小马,再接着通过小马上传大马了。我们这里说的小马和大马是指网页类型中的,小马就是为了配合上传大马的,这是它最主要的作用,还有就是小马可以当做备用的后门来使用,一般大马容易被发现,而小马则更容易隐藏在系统的文件夹中。的管理,解压缩,和提权等功能,都非常强大。原创 2024-06-21 18:37:45 · 352 阅读 · 1 评论