![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Web security Academy笔记
Web security Academy是Burp suite提供的练习课程,lab内容是不断更新的。本专栏记录对Web security Academy的学习。
尸者狗
这个作者很懒,什么都没留下…
展开
-
同源策略(SOP)Same-origin policy
什么是同源策略?同源策略是一种Web浏览器安全性机制,旨在防止网站相互攻击。同源策略限制一个起源上的脚本访问另一个起源的数据。源由URI方案,域和端口号组成。例如,考虑以下URL:http://normal-website.com/example/example.html这将使用协议http,域normal-website.com和端口号80。下表显示了如果上述URL上的内容尝试访问其他来源时将如何应用同源策略:网址已访问 允许访问?http://normal-website.com/examp翻译 2020-12-23 19:40:29 · 793 阅读 · 0 评论 -
Web Security Academy 跨站点伪造请求(CSRF)
笔者Burpsuite Web 安全学院的学习笔记Burpsuite Web 安全学院:Cross-site request forgery (CSRF)原创 2020-12-08 21:56:04 · 721 阅读 · 0 评论 -
访问控制漏洞和特权升级(Access control vulnerabilities and privilege escalation)学习笔记
笔者burpsuite的在线安全学院的Access control vulnerabilities and privilege escalation学习笔记。笔者认为这这个的覆盖面比国内俗称的越权要广,所以就直译了。限于本人水平,笔记质量不是很高,假如有看到的大佬轻喷,很多地方是Google翻译的。文章目录访问控制漏洞和特权升级什么是访问控制?访问控制安全模型什么是访问控制安全模型?程序访问控制...原创 2020-05-07 22:50:26 · 2908 阅读 · 0 评论 -
目录遍历(Directory traversal)
笔者burpsuite的在线安全学院的目录遍历学习笔记。限于本人水平,笔记质量不是很高,假如有看到的大佬轻喷,很多地方是Google翻译的。文章目录什么是目录遍历?通过目录遍历读取任意文件Lab: File path traversal, simple case利用文件路径遍历漏洞的常见障碍Lab: File path traversal, traversal sequences blocked...原创 2020-05-06 19:44:27 · 5557 阅读 · 0 评论 -
操作系统命令注入(OS command injection)学习笔记
笔者burpsuite在线安全学院的OS command injection学习笔记。限于本人水平,笔记质量不是很高,假如有看到的大佬轻喷,很多地方是Google翻译的,还请多多包涵。文章目录什么是OS命令注入?执行任意命令Lab: OS command injection, simple case有用的命令OS盲注使用时间延迟检测OS盲注Lab: Blind OS command inject...原创 2020-05-06 00:28:51 · 5281 阅读 · 0 评论 -
Web缓存中毒(web cache poisoning)学习笔记
笔者burpsuite的在线安全学院的ssti学习笔记。限于本人水平,笔记质量不是很高,假如有看到的大佬轻喷,很多地方是Google翻译的。首先推荐篇翻译的文章,方便理解#先知社区上师傅翻译的:实战Web缓存中毒https://xz.aliyun.com/t/2585#toc-21#原文https://portswigger.net/blog/practical-web-cache-po...原创 2020-05-05 01:48:45 · 4308 阅读 · 0 评论 -
Server-side template injection (SSTI)学习笔记
文章目录阅读文档了解基本模板语法Lab: Basic server-side template injectionLab: Basic server-side template injection (code context)了解安全隐患寻找已知漏洞探索开发人员提供的对象创建自定义攻击阅读文档文档是最有用的信息来源,例如,一旦您知道正在使用基于Python的Mako模板引擎,实现远程代码执行就...原创 2020-05-03 17:48:43 · 1565 阅读 · 1 评论