Web安全
文章平均质量分 91
探索中....
Light_shoot
这个作者很懒,什么都没留下…
展开
-
《Web安全深度剖析》摘要2
Apache在解析文件时有一个原则:当碰到不认识的扩展名时,将会从后向前解析,直到碰到认识的扩展名为止,如果都不认识,则会暴露其源代码,比如: 1.php.rar.xs.aa ,Apache首先会解析aa扩展名,如果不认识,将会解析xs扩展名,这样一直遍历到认识的扩展名为止,然后再将其解析。一般在抓包拦截里传一句话木马。写入PHP文件,使用php://input 可以执行 PHP 语句,但使用这条语句时需要注意: php://input 受限于 allow_url_include ,需要激活时才能使用。原创 2023-11-14 19:52:32 · 105 阅读 · 0 评论 -
《Web安全深度剖析》部分摘要1
HTTP请求方法(1)HEADHEAD方法除了服务器不能在响应里返回消息主体外,其他都与GET方法相同。此方法经常用来被检测超文本链接的有效性、可访问性和最近的改变。攻击者编写扫描工具时,就经常用此方法,因为只测试资源是否存在,而不用返回消息主题,所以速度一定是最快的。(2)PUTPUT方法用于请求服务器把请求体中的实体存储在资源请求下,如果请求资源已经在服务器中存在,那么将会用此请求中的数据替换原先的数据,作为指定资源的最新修改版;原创 2023-11-13 16:55:22 · 103 阅读 · 0 评论