![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全学习
文章平均质量分 78
web安全知识总结
G0t1t
这个作者很懒,什么都没留下…
展开
-
命令执行绕过方式总结
目录命令执行绕过方式总结命令分隔符花括号的用法黑名单绕过拼接绕过编码绕过单引号和双引号绕过反斜杠绕过长度限制内联执行通配符反弹shell(有点不懂先留个坑)linux中查看文件内容的工具命令执行绕过方式总结空格过滤linux{cat,flag.txt} cat${IFS}flag.txtcat$IFS$9flag.txtcat<flag.txtcat<>flag.txtkg=$'\x20flag.txt'&&cat$kg(\x20转换成字符串就是空格原创 2021-01-03 21:43:17 · 1377 阅读 · 0 评论 -
命令执行漏洞学习
命令注入命令注入的危害与web中间件的运行权限有关,由于web应用运行在web中间件上,所有web应用会“继承”web中间件的运行权限。黑客可以利用漏洞任意执行权限允许的命令,比如:查看系统敏感信息,添加管理员,反弹shell(就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端,本质上是网络概念的客户端的角色反转),下载并运行恶意代码等,一旦中间件权限分配过大,黑客将直接控制我们的web服务器本质系统把用户输入的参数当成了要执行的命令,并且这些命令被执行了。原创 2021-01-01 19:19:08 · 208 阅读 · 0 评论 -
URL编码
什么是URL编码url编码是一种浏览器用来打包表单输入的格式URL编码与解码最近做题经常碰到二次编码绕过,于是打算系统总结一下关于URL编码相关内容为什么URL要编码URL之所以要编码是因为URL中有些字符会引起歧义情况一url参数字符串使用key=value键值来传参,键值之间用&分隔,如/?admin=123&password=123可是如果是/?admin=12=3&password=12&3这样value字符串包含了=或&,会造成接收Url服务原创 2020-12-31 10:55:55 · 2799 阅读 · 0 评论 -
2020-12-11 http协议学习笔记整理
HTTP 请求方法HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法具体解释:注意http协议的默认端口为80(服务端端口)HTTP工作原理HTTP协议定义Web客户端如何从Web服务器请求Web页面,以及服务器如何把Web页面传送给客户端。HTTP协议采用了请求/响应模型。原创 2020-12-11 20:59:16 · 168 阅读 · 0 评论