- 博客(6)
- 收藏
- 关注
原创 xss-labs靶场打靶记录
(小声说一句,这部分也是偷的)检测输入变量,确认每个 web 页面中用户可自定义的变量,如 HTTP 参数、POST 数据、隐藏表单字段值、预定义的 radio 值或选择值分别确认每个输入变量是否存在 xss漏洞。变量输入处输入 poc,查看返回的 web页面的 html 中 poc 代码是否被过滤,浏览器是否响应 poc,若存在过滤,进行测试查看能否进行绕过。攻:利用<>标记,构造<script>标签可执行 javascript的xss代码。防:xss过滤函数需过滤等字符。
2023-11-26 11:16:00 1654 2
原创 upload-labs靶场打靶记录
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21关,每一关都包含着不同上传方式。1.每一关没有固定的通关方法,大家不要自限思维!2.本项目提供的writeup只是起一个参考作用,希望大家可以分享出自己的通关思路。3.实在没有思路时,可以点击查看提示。4.如果黑盒情况下,实在做不出,可以点击查看源码。后续如在渗透测试实战中遇到新的上传漏洞类型,会更新到upload-labs中。
2023-11-16 21:35:54 109 1
原创 Pikachu靶场打靶记录
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。漏洞类型列表如下Burt Force(暴力破解漏洞)XSS(跨站脚本漏洞)CSRF(跨站请求伪造)SQL-Inject(SQL注入漏洞)RCE(远程命令/代码执行)Files Inclusion(文件包含漏洞)Unsafe file downloads(不安全的文件下载)
2023-10-16 21:10:47 374
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人