关注
分享
文章平均质量分 90
这个分类专栏旨在为WEB开发者提供深入指南和最佳实践,帮助保护Web应用免受黑客攻击和数据泄露。在本专栏中,学习如何评估应用安全性,纠正Web安全漏洞,防止未来攻击。主题包括XSS、SQL注入、会话劫持和CSRF。无论您的经验,这个分类专栏都提供实用技能和知识,使Web应用更加安全可靠。让我们建立更
One-Fox安全团队
One-Fox安全团队是一支专注于网络安全领域的团队。我们涵盖了红蓝对抗、安全服务、漏洞研究、安全开发等多个领域。团队成员具有丰富的专业知识和实战经验,我们不断探索和研究新的安全技术和方法,致力于为广大安全爱好者以及安全从业者提供学习和交流的平台。
展开
-
WEB常见漏洞之文件上传(基础原理篇)
由于开发者安全意识不足,或者编写代码时对上传文件的合法校验存在缺陷,导致上传漏洞的产生。上传漏洞经常出现于头像上传、相册上传、附件上传、新闻投稿等位置,产生的危害极大, 可直接导致web服务器权限被攻击者控制。如果WEB应用在文件上传过程中没有对 文件 的安全性进行 有效 的校验,攻击者可以通过上 传 WEBshell 等恶意文件对服务器进行攻击,这种情况下认为系统存在文件上传漏洞。原创 2023-07-01 15:28:32 · 520 阅读 · 0 评论 -
WEB常见漏洞之文件包含(基础原理篇)
使用方法主要适用于在服务端代码里已写死后缀名(.txt),如只能传入文件名(1),当传入完整文件名(1.txt)时会发生错误,00截断就能帮助绕过这类限制完成getshell上传带有木马的图片文件包含通过00截断访问目标图片,如 test.php?使用蚁剑连接目标0x02 超长文件截断php < 5.2 .8 文件名要求:linux文件名需长于 4096 winodws文件名需长于 256。原创 2023-07-01 15:41:43 · 285 阅读 · 0 评论 -
WEB常见漏洞之XSS(靶场篇)
由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!原创 2023-06-30 09:16:43 · 1897 阅读 · 0 评论 -
WEB常见漏洞之XSS(基础原理篇)
当利用基于DOM的XSS漏洞时,攻击有效载荷并不在服务器的响应中返回,而是保存在浏览器的DOM中,并可被客户端javascript访问。上边这种方法不适用于DOM型XSS,因为 基于DOM的XSS漏洞 , payload并不在服务器的响应中返回,而是保存在浏览器的DOM中。就是产生XSS点的页面不属于self页面,用户之间产生交互行为的页面,都可能造成XSS Worm的产生 (微博、贴吧)用户可控的数据未经适当的确认与净化就被复制到应用程序响应中,这是造成反射型与保存型XSS漏洞的根本原因。原创 2023-06-30 08:48:52 · 269 阅读 · 0 评论 -
WEB常见漏洞之SQL注入(靶场篇—1)
sqli靶场版SqliLabs 是一个学习 SQL 注入的靶场,它提供了 GET 和 POST 的实验场景,涵盖了联合查询注入、基于报错的注入、基于时间的盲注、基于布尔的盲注、堆叠注入、二次注入以及各种注入绕过。原创 2023-05-05 14:41:43 · 3780 阅读 · 3 评论 -
WEB安全之常见漏洞篇之SQL注入(基础 原理篇)
盲注就是在sql注入过程中,sql语句执行的选择后,选择的数据不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。原创 2023-04-14 15:34:23 · 460 阅读 · 1 评论 -
WEB安全之信息收集篇(1)基础篇
信息搜集也称踩点,信息搜集毋庸置疑就是尽可能的搜集目标的信息,包括端口信息、DNS信息、员工邮箱等等看似并不起眼的一些信息都算是信息搜集,这些看似微乎其微的信息,对于渗透测试而言就关乎到成功与否了。原创 2023-04-14 15:19:24 · 1158 阅读 · 1 评论