- 博客(3)
- 资源 (1)
- 收藏
- 关注
原创 验证码未更新引发的用户枚举
验证码未更新引发的用户枚举,这种漏洞比较常见,估计很多网站的图像验证码不一定合规。 《利用漏洞中验证码绕过的小技巧》,中有介绍到有条件不刷新多见于如下情况: 登录失败之后,系统会打开一个新页面或者弹出一个新的警告窗口,提示用户登录失败,点击确定后返回登录界面且验证码刷新。这种情况下,只要我们不关闭新窗口或弹窗,配合使用Burpsuite的intruder模块就可以进行暴力破解了。 上...
2019-03-07 10:16:48 509
原创 检测到目标URL存在http host头攻击漏洞
详细描述: 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 解决办法: web应用程序应该使用SERVER_NAME而不是host header。在Apac...
2019-03-07 10:14:52 1819
翻译 web安全所需过滤的特殊字符
[1] |(竖线符号) [2] & (& 符号) [3];(分号) [4] $(美元符号) [5] %(百分比符号) [6] @(at 符号) [7] '(单引号) [8] "(引号) [9] \'(反斜杠转义单引号) [10] \"(反斜杠转义引号) [11] <>(尖括号) [12] ()(括号) [13] +(加号) ...
2019-03-07 10:13:09 3639
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人