web安全
文章平均质量分 74
allintao
业精于勤而荒于嬉,行成于思而毁于随
展开
-
一文了解--os-shell原理及条件
本文主要介绍关于sqlmap中--os-shell拿到shell的原理及条件。原创 2023-03-21 14:22:29 · 1182 阅读 · 0 评论 -
一文了解反序列化漏洞
通过再cookie的rememberme字段中插入恶意payload触发shiro框架的rememberme的反序列化功能,导致任意代码执行shiro1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA==由于开发人员未修改AES密钥而直接使用shiro框架,导致了该问题Fastjson是java的一个库,可以通过toJSONString()方法。原创 2023-03-21 11:24:03 · 1007 阅读 · 0 评论 -
一文了解XSS,CSRF,SSRF的区别
本文章主要简单介绍一下关于XSS,CSRF,SSRF的区别原创 2023-03-02 22:02:05 · 2618 阅读 · 0 评论 -
一文了解pikachu的SQL注入
本文章主要讲解关于pikachu的注入方式。目录一、数字型注入(post)二、字符型注入(get)三、搜索型注入四、xx型注入五、"insert/update"注入六、"delete"注入七、"http header"注入八、盲注(base on boolian)九、盲注(base on time)十、宽字节注入。原创 2023-03-01 22:24:48 · 2822 阅读 · 3 评论 -
一文了解暴力破解
暴力破解,是一种针对于密码的破译方法,将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码(非随机密码,人为设置密码有规律可循)的场景,则可以使用密码字典(例如彩虹表)查找高频密码,破解时间大大缩短。设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等是防御暴力破解的有效方法。原创 2023-02-28 15:25:21 · 434 阅读 · 0 评论