基本web漏洞
文章平均质量分 82
诡墨佯
这个作者很懒,什么都没留下…
展开
-
CORS跨域资源共享漏洞
cors漏洞原创 2022-10-19 11:01:59 · 9083 阅读 · 1 评论 -
sql注入脚本1
sqllab第一关验证pocimport requestsimport reurl = input("输入你的url:")r = requests.get(url)res = str(r.content)if re.search("syntax",res): print("存在sql注入")else: print("不存在")原创 2022-05-01 22:10:18 · 977 阅读 · 0 评论 -
xml学习1
XML和DTD基础**内部的 DOCTYPE 声明**<?xml version="1.0"?><!DOCTYPE note [ <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!ELEMENT heading (#PCDATA)> ...原创 2022-05-01 15:59:44 · 187 阅读 · 0 评论 -
xxe漏洞php代码审计1
(1)原理XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件(2)基础知识 XML 被设计为传输和存储数据,其焦点是数据的内容HTML 被设计用来显示数据,其焦点是数据的外观...原创 2022-05-01 08:43:20 · 610 阅读 · 0 评论 -
登录界面漏洞
登录页面可能产生哪些漏洞呢?1、注入点及万能密码登录2、登录时,不安全的用户提示:比如提示用户名不存在或者密码验证码错误3、查看登录页面源代码,看是否存在敏感信息泄露4、不安全的验证码5、在注册账号的时候,是否存在不安全的提示6、不安全的密码,在注册账号的时候密码没有限制复杂度7、任意无限注册账号8、在暴力破解的时候不会限制ip,锁定用户9、一个账号可以在多地登录,没有安全提示10、账户登录之后,没有具备超时功能11、OA,邮件,默认账号等相关系统,在不是自己注册原创 2022-04-30 18:36:16 · 6714 阅读 · 0 评论 -
文件上传漏洞
什么是文件上传漏洞文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。什么是webshellWebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。攻击者原创 2022-04-28 15:48:19 · 3041 阅读 · 0 评论 -
csrf漏洞
CSRF(Cross-site Request Forgery,跨站请求伪造),缩写CSRF,也有少数文章称为XSRF,一种利用用户在当前已登录的Web应用程序上执行非本意操作的攻击方法(利用受害者尚未失效的身份认证信息(cookie,会话等),创建恶意伪造的web页面请求,在受害者不知情的情况下向服务器发送请求完成非法操作(转账、改密等))。 简言之,攻击者间接利用受害者合法身份,以其身份发送恶意请求。1.2 漏洞实质 攻击者通过技术手段欺骗用户的浏览器访问原创 2022-04-27 22:18:44 · 682 阅读 · 0 评论 -
sql注入知识点
1Sqllab渗透测试天书Microsoft英文文档ORDER BY Clause (Transact-SQL) - SQL Server | Microsoft DocsSELECT - ORDER BY Clause (Transact-SQL)https://docs.microsoft.com/en-us/sql/t-sql/queries/select-order-by-clause-transact-sql?view=sql-server-ver152Iwebsec靶场判断字原创 2022-04-27 14:44:59 · 3546 阅读 · 0 评论