![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全复习周
文章平均质量分 85
梳理一下学过的知识
海上清辉
赵客缦胡缨,吴钩霜雪明。
银鞍照白马,飒沓如流星。
展开
-
SSTI模板注入总结
文章目录python 模板Flask Jinja 2敏感信息泄露的身份伪造 python 模板 Python的模板有Tornado、Flask、Django 模板引擎通过对模板进行动态的解析,将传入模板引擎的变量进行替换,最终展示给客户 SSTI服务端模板注入正是因为代码中通过不安全的字符串拼接的方式来构造模板文件而且过分信任用户的输入造成的 Flask Jinja 2 语法 {%……%} 语句 {{…}}打印模板输出表达式 {#…#} 注释 #…##行语句 敏感信息泄露的身份伪造 ...原创 2021-03-19 14:45:48 · 410 阅读 · 1 评论 -
文件读取
文章目录文件读取漏洞常见读取路径Linuxwindows例题[第一章 web入门]afr_1[第一章 web入门]afr_2原理 文件读取漏洞常见读取路径 Linux flag名称(相对路径) …/…/…/…/…/…/flag(.txt|.php|.pyc|.py) flag(.txt|.php|.pyc|.py) 等等 服务器信息(绝对路径) /etc:/etc目录下是各种应用或系统配置文件 /etc/passwd:是Linux系统保存用户信息及其工作目录的文件,权限是所有用户/组可读原创 2021-03-15 17:38:58 · 242 阅读 · 0 评论 -
信息搜集
文章目录分类敏感目录泄露git泄露SVN泄露HG泄露敏感备份文件gedit备份文件vim备份文件常规文件Banner识别实例[第一章 web入门]常见的搜集[第一章 web入门]粗心的小李 分类 敏感目录、敏感备份文件、Banner识别等 敏感目录泄露 git泄露 git是一个主流的分布式版本控制系统,开发人员在开发过程中经常遗忘.git泄露导致攻击者可以通过.git文件获取源代码 SVN泄露 HG泄露 敏感备份文件 gedit备份文件 在Linux下,用gedit编辑器保存后,当前目录会生成~后原创 2021-03-12 15:43:15 · 142 阅读 · 0 评论