![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
信息安全
文章平均质量分 90
Leo_Heascle
不要成为自己讨厌的人。
展开
-
PHP代码审计之路——1.文件、目录、浏览查看相关
1.目录及文件查看 2.文件内容查看 3.文件操作 4.文件包含原创 2017-09-27 22:57:04 · 506 阅读 · 0 评论 -
sql injection 类型总结
前言(废话):本人觉得网上对于SQL类型的分析其实有点混乱(特别是中文网站,误导人),后来我发现其实大家都是根据sqlmap上给出的类型来划分的( --technique=BEUSTQ (Boolean, Error, Union, Stacked, Time, Query Inline) 从实际的理解上来说,这样划分是难以理解的,sqlmap的BEUSTQ是它的注入方式,和类型其实没有什么原创 2017-08-16 23:50:55 · 1352 阅读 · 2 评论 -
文件上传类型总结
1.前端代码 2.逻辑绕过 3.文件内容检测 4.文件包含、文件备份 5.网站后台 6.容器及语言特性 7.畸形报文 8.系统特性 9.SQLI方面原创 2017-08-29 11:24:25 · 1672 阅读 · 0 评论 -
CSRF中Referer的误解
首先要知道,该字段主要是为了解决图片盗链问题。然后作为CSRF的一种监控手段,需要和其他结合。 看到网上有人说Refer可以伪造 1.利用服务端脚本代码,如PHP。这些是在服务器运行的,发包也是服务器发的,都获取不到受害者的cookie。 2.前端,ajax等。ajax好像确实有设置referer的函数,但是最终发包的构造是浏览器完成,也就是说浏览器会覆盖,就算你前端脚本构造了。 以后变大原创 2017-10-24 22:28:39 · 3762 阅读 · 0 评论