基本web漏洞笔记
关注
分享
扫一扫
文章平均质量分 89
小迪视频笔记
MAPLE...
这个作者很懒,什么都没留下…
展开
-
XXE原理及利用防御
XXE 漏洞全称XML External Entity Injection,即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。原创 2022-05-15 11:44:58 · 389 阅读 · 0 评论 -
XML文件约束DTD
文件约束就是xml文档的书写规范,它约定了该文档的元素和属性应该怎么写,应该怎么嵌套而DTD是文件约束的一种方式。常用的就如下两种,本文介绍DTD原创 2022-05-14 18:28:06 · 767 阅读 · 0 评论 -
XML概述
XML 可扩展标记语言(EXtensible Markup Language ) 被设计为传输和存储数据,XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从 HTML 分离,是独立于软件和硬件的信息传输工具。原创 2022-05-14 17:53:34 · 1595 阅读 · 0 评论 -
CSRF和SSRF
CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任即会话跟踪技术实现的身份凭证,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。原创 2022-05-12 18:35:52 · 159 阅读 · 0 评论 -
xss原理及利用
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。当别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。原创 2022-05-12 18:30:46 · 1476 阅读 · 0 评论 -
xss利用绕过
绕过姿势原创 2022-05-12 18:29:51 · 753 阅读 · 0 评论 -
文件包含漏洞
程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件, 而无需再次编写,这中文件调用的过程一般被称为文件包含。程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用, 但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。原创 2022-05-12 11:52:44 · 215 阅读 · 0 评论 -
文件读取下载
一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞原创 2022-05-12 11:52:13 · 206 阅读 · 0 评论 -
文件上传攻击
文件上传绕过姿势原创 2022-05-11 20:29:51 · 427 阅读 · 0 评论 -
文件上传概述
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果原创 2022-05-11 20:28:49 · 1013 阅读 · 0 评论 -
SQL注入手法和思路(二)
注入手法和思路(二)原创 2022-04-17 20:09:07 · 2747 阅读 · 0 评论 -
注入手法和思路(一)
sql注入手法和思路(一)原创 2022-04-17 20:07:53 · 2349 阅读 · 0 评论 -
SQL注入概述
SQL注入概述原创 2022-04-17 17:41:35 · 2791 阅读 · 0 评论