XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法，那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题： 什么是XSS漏洞？ XSS漏洞有哪些分类？ 如何防范XSS漏洞？ 二、XSS 漏洞简介 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。 xss漏洞通常是通过php的...

0x01 概述 SSRF(Server-side Request Forge, 服务端请求伪造)。 由攻击者构造的攻击链接传给服务端执行造成的漏洞，一般用来在外网探测或攻击内网服务。 0x02 SSRF的危害 扫内网 向内部任意主机的任意端口发送精心构造的Payload DOS攻击（请求大文件，始终保持连接Keep-Alive Always） 攻击内网的web应用，主要是使用GET参数就可以实现的攻击（比如struts2，sqli等） 利用file协议读取本

前言 对于xxe漏洞的认识一直都不是很清楚，而在我为期不长的挖洞生涯中也没有遇到过，所以就想着总结一下，撰写此文以作为记录，加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞，那么一定得先明白基础知识，了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素 xml文档的构建模块 所有的 XML 文档（以及 HT

然后发在先知平台备份了一份 1 @序 　　攻防之初，大多为绕过既有逻辑和认证，以Getshell为节点，不管是SQL注入获得管理员数据还是XSS 获得后台cookie，大多数是为了后台的登录权限，假若我们获得一枚口令，都是柳暗花明。不管口令复杂与否，只要在构造的字典内都是爆破之结晶。 　　Web形态及业务之错综，我们暂可将能够自定义字典的请求归类到爆破，以便信息的提炼和知识的逻辑推理。 　　本文主要收集了常用的一些爆破相关的零碎点和技巧点。 2 账户探测 探测存在与否 第一梯队..

CSRF全拼为Cross Site Request Forgery，翻译过来就是跨站请求伪造 跨站请求伪造（CSRF）是Web应用程序的一种常见的漏洞；其特性是危害性大，并且极其隐蔽。下面就从CSRF的危害实例，攻击原理，防御方法几个方面进行解释说明。 CSRF的危害实例与过程解析 本案例主人公： 用户：xiaoming A银行网站：www.Abank.com 黑客网站：www.heikebank.com 1.xiaoming 今天闲来无事访问A银行的网站，由于需要查询个人账户的一些信息，所以登陆.

https://blog.csdn.net/stpeace/article/details/53512283#commentBox 转载地址：http://www.phpddt.com/reprint/csrf.html CSRF概念：CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性，你可以这样来理解：...

https://www.sohu.com/a/201169795_466846 假设有一个发送方在向接收方发送消息。如果没有任何加密算法，接收方发送的是一个明文消息：“我是小灰” 如果消息被中间人截获到，即使中间人无法篡改消息，也可以窥探到消息的内容，从而暴露了通信双方的私密。 因此我们不再直接传送明文，而改用对称加密的方式传输密文，画风就变成了下面这样： 具体工作的步骤如下： 1.发送方利用密钥123456，加密明文“我是小灰”，加密结果为TNYRvx+SNjZwEK.

Spring Security 是 Spring 家族中的一个安全管理框架，实际上，在 Spring Boot 出现之前，Spring Security 就已经发展了多年了，但是使用的并不多，安全管理这个领域，一直是 Shiro 的天下。【点击免费获取274页原创SpringBoot2教程】 相对于 Shiro，在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作，所以，Spring Security 虽然功能比 Shiro 强大，但是使用反而没有 Shiro 多（Shiro 虽

...