- 博客(10)
- 收藏
- 关注
RSS订阅原创 Shiro反序列化漏洞学习
Apache Shiro是一个强大且易用的Java安全框架,拥有身份验证、授权、密码验 证和会话管理等功能。使用Shiro易于理解的API,可以快速、轻松地管理任何应 用程序,从最小的移动应用程序到最大的网络和企业应用程序。漏洞名:Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)漏洞危害:远程代码执行,getshell等。影响范围:Apache Shiro <= 1.2.4 (rememberMe的AES加密密钥泄露)
2024-06-18 11:12:24
500
原创 逻辑漏洞学习
逻辑漏洞:指由于程序逻辑不严谨或逻辑太复杂,导致一些逻辑分支不能够正常 处理或处理错误。通俗地讲:一个系统的功能太多后,程序开发人员难以思考全面,对某些地方可能有遗漏,或者末能正确处理,从而导致逻辑漏洞。逻辑漏洞 也可以说是程序开发人员的思路、逻辑存在漏洞。代码背后是人的逻辑,人更容易犯错,所以逻辑漏洞一直都在,而且由于逻辑漏 洞产生的流量多数为合法流量,一般的防护手段或设备无法有效防护,也导致了 逻辑漏洞成为了企业防护中的难题。
2024-06-18 09:28:59
1839
原创 文件上传漏洞学习
定义:以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以 将其称之为一种网页后门。攻击者在入侵了一个网站后,通常会将这些asp或php后 门文件与网站服务器web目录下正常的网页文件混在一起,然后使用浏览器来访问这 些后门,得到一个命令执行环境,以达到控制网站服务器的目的,可以实现文件上传 下载、修改文件、操作数据库、执行任意命令等操作。这个后门文件就是所谓的 Webshell。
2024-06-17 17:19:42
1530
原创 XSS漏洞学习
定义:XSS(Cross Site Scripting)攻击全称跨站脚本攻击,是为不和层叠样式表 (Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。成因:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植 入到提供给其它用户使用的页面中,而程序对输入和输出的控制不够严格,导致“精心构造” 的脚本输入后,再输到前端时被浏览器当作有效代码解析执行从而产生危害。当受害者访问 这些页面时,浏览器会解析并执行这些恶意代码。
2024-06-17 16:02:48
1258
1
原创 命令执行学习
在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。命令执行漏洞也是一种注入,属于高位漏洞之一,也属于代码执行的范畴。如果对文件名进行过滤的话可以使用通配符。如果上列关键词都被过滤可尝试分隔符。
2024-06-13 17:58:18
112
原创 XML外部实体注入漏洞
可扩展标记语言(英语:Extensible Markup Language,简称:XML)是一种标记语言,是从标准通用标记语言(SGML)中简化修改出来的。它主要用到的有可扩展标记语言、可扩展样式语言(XSL)、XBRL和XPath等。XML 指可扩展标记语言(eXtensible Markup Language)。XML 被设计用来传输和存储数据。HTML 被设计用来显示数据。
2024-06-13 17:14:10
182
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人