- 博客(4)
- 收藏
- 关注
RSS订阅原创 项目笔记:跨站请求伪造(CSRF)
在CSRF攻击中,攻击者通常不会直接访问受害者的账户,而是通过发送一个恶意的链接或脚本到受害者,诱使受害者在未察觉的情况下执行特定的请求。这个请求看起来像是受害者自己发出的,因为它包含了受害者的会话信息(如cookie),而受害者此时已经登录到目标应用程序。这些操作通常是以受害者的身份执行的,因为攻击者会利用受害者在应用程序中已经建立的会话(session)。服务器收到修改密码的请求后,会检查参数password_new与password_conf是否相同,如果相同,就会修改密码,并没有任何的防御机制。
2024-05-08 09:12:03
829
1
原创 项目笔记:文件包含漏洞
当应用程序对用户输入的文件路径或文件名进行不充分或无效的验证和过滤时,攻击者可以通过操纵应用程序对文件路径的处理,将恶意文件包含到应用程序中执行。为了避免文件包含漏洞,开发人员在编写代码时应该对用户输入的文件路径或文件名进行严格的验证和过滤,确保只包含合法的文件路径和文件名。同时,应该避免使用不安全的文件包含函数,如PHP中的include()和require()函数,而应该使用更加安全的替代方案。例如,可以只允许包含特定的文件或目录,或者对文件名进行白名单验证,确保它只包含预期的字符和格式。
2024-05-06 15:34:19
614
1
原创 项目笔记 : 命令执行漏洞
命令执行漏洞是一种常见的网络安全漏洞,它指的是应用有时需要调用一些执行系统命令的函数,如system()、exec()、shell_exec()等,而代码未对用户可控参数做过滤。当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击。命令执行漏洞的原理在于,当应用需要调用外部程序处理内容时,就会使用执行系统命令的函数。如果这些函数的参数可以由用户控制,那么用户就有可能输入恶意命令,导致应用执行非预期的操作。
2024-04-29 16:07:23
599
1
原创 项目笔记:WordPress shenronm 靶机实训
WordPress主题编辑器是一个内置于WordPress平台的工具,允许用户自定义WordPress站点的外观和功能。通过主题编辑器,用户可以选择预设的主题或上传自定义主题,并定制其全局样式,如颜色、字体、间距等。Nmap的基本使用方法、Burp的基本使用方法、一句话木马、webshell管理平台、wordpressCMS、后台扫描、host配置、Linux基础命令。靶机下载链接:https://pan.baidu.com/s/1Ab166gEbG9v7P7uM4-xqyw。
2024-04-27 21:24:08
339
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人