Security Learning PATH
文章平均质量分 96
April 顶
(∪.∪ )...zzz
这个作者很懒,什么都没留下…
展开
-
portswigger_CSRF
这里写自定义目录标题一、cross-site request forgery1. 影响2. CSRF工作3. 构造CSRF一、cross-site request forgeryCSRF1. 影响更改用户信息资金转移等2. CSRF工作用户处理特权相关的工作; 更改信息,权限是基于cookie的会话,仅依靠cookie来确定是用户提出的,没其他验证比如token、refer3. 构造CSRF...原创 2022-05-18 14:38:58 · 707 阅读 · 0 评论 -
portswigger_文件上传漏洞
这里写自定义目录标题一、是啥1. 什么是文件上传漏洞2. 文件上传漏洞如何出现3. web服务器如何处理静态的文件请求二、类型1. 任意上传以部署webshelllab:上传webshell进行远程代码执行2. 文件类型验证存在缺陷lab:上传webshell 通过Content-Type 限制绕过3. 防止文件执行lab:上传webshell通过目录遍历4. 黑名单不足4.1 覆盖服务器配置lab: 通过黑名单之外的上传webshell——.htaccess4.2 混淆文件后缀lab5:文件后缀混淆来绕过原创 2022-05-13 17:44:58 · 1177 阅读 · 1 评论 -
1 SQL injection
SQL injection目录SQL injection一、What二、Influence三、SQL injection examples1.retrieving hidden data检索隐藏数据lab 12.subverting application logic颠覆应用程序逻辑lab2 SQL injection vulnerability allowing login bypass3.UNION attacks4. Examining the database检查数据库5.Blind SQL原创 2021-04-18 02:44:18 · 939 阅读 · 1 评论 -
5 Business logic vulnerabilities 业务逻辑漏洞
5 Business logic vulnerabilities 业务逻辑漏洞目录5 Business logic vulnerabilities 业务逻辑漏洞一、What二、业务逻辑漏洞如何产生三、impacts四、examples1.对客户端控件的过度信任2.未能处理非常规输入3. 对用户行为做出错误的假设4. 值得信任的用户并不总是值得信任的5. 用户将不会总是提供强制性输入6.用户将不会总是遵循预期的顺序7.Domain-specific flaws8. 提供加密数据库五、如何避免In thi原创 2021-05-02 01:38:19 · 1430 阅读 · 0 评论 -
4 OS command injection操作系统命令注入
4 OS command injection操作系统命令注入目录4 OS command injection操作系统命令注入一、What is OS command injection?二、Executing arbitrary commandsLab: OS command injection, simple case三、 Useful commandsIn this section, we’ll explain what OS command injection is, describe how v原创 2021-04-29 01:40:32 · 931 阅读 · 0 评论 -
3 Directory traversal
3 Directory traversal目录遍历攻击目录3 Directory traversal目录遍历攻击一、What二、通过目录遍历读取任意文件Lab: File path traversal, simple case三、利用文件路径遍历漏洞的常见障碍Lab: File path traversal, traversal sequences blocked with absolute path bypassLab: File path traversal, traversal sequences原创 2021-04-28 01:30:37 · 1024 阅读 · 0 评论