自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

wkend的博客

学习记录

原创 cookie注入

0x00 什么是cookie? cookie是当前识别用户,实现持久会话的最好的方式,有时也叫cookies,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密)。cookie最初是由网景公司开发的,现在所有的浏览器都支持。 “Cookie”是小量信息...

2018-11-08 13:13:08

阅读数 641

评论数 0

原创 BTS测试实验室 --- 文件包含、SSRF、点击劫持、无限制文件上传

0X00 文件包含 1. 什么是“文件包含”? 在通过服务器脚本的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露、恶意代码的注入等。 文件包含分为本地文件包含和远程文件包含。 2. 本地文件包含利用方式 btslab只有本地文件包含,所以这里只演示...

2018-11-03 16:49:03

阅读数 710

评论数 0

原创 BTS测试实验室 --- CSRF

0x00 什么是“CSRF”? 以下介绍来自OWASP2013 0x01 “CSRF”的发现与防止 0x02 攻击案例 0x03 CSRF 1 — 更改信息 以普通用户身份登入(这里我选择tom),进入修改个人信息修改页 输入新信息,抓包得到修改页的请求url,注意这里的请求方式是GET...

2018-11-03 10:58:00

阅读数 307

评论数 0

原创 BTS测试实验室 --- 安全配置错误和丢失的功能级别访问控制

什么是“安全配置错误”漏洞

2018-11-02 23:32:05

阅读数 245

评论数 0

原创 BTS测试实验室 ---不安全的直接对象引用

0x00 什么是“不安全的直接对象引用”? 浏览OWASP对该漏洞的说明 下面是2013年OWASP对不安全的直接对象引用的说明: 0x01 回到题目 查看详细信息 首先用普通用户登入,如tom用户 查看tom用户的详细信息: 注意url中的参数id http://127.0.0....

2018-11-02 21:58:04

阅读数 255

评论数 0

原创 BTS测试实验室 --- xss攻略

ox00反射型 挑战1 payload:<script>alert('xss')</script> 挑战2 通过尝试发现页面会发生变化,而且参数在url中可...

2018-11-02 21:02:43

阅读数 225

评论数 0

提示
确定要删除当前文章?
取消 删除