- 博客(6)
- 收藏
- 关注
RSS订阅原创 一个XSS靶场练习记录
首先,传送门:http://xss.fbisb.com/yx/level1.php?name=test其次,挑选合适的浏览器,我用的火狐。Chrome会阻断掉你的XSS注入。level1: 产看下源码(ctrl + u):<!DOCTYPE html><!--STATUS OK--><html><head&g...
2019-09-23 22:19:26
11999
2
原创 网络安全:存储型XSS
书接上文(有没有一种熟悉的味道),来看存储型XSS,这个最常见,也最好理解。数据库里的一条数据显示了出来。我们输入一些东西,下方又会多出来一条数据:如果重新加载页面,仍旧有这两条数据。这就是存储型,输入数据会被存入数据库,网页每次被打开,都会从数据库里调出显示。这个像什么?对,就是我们文章下面的评论系统,文章所有的评论会被存进数据库,每一个浏览...
2019-09-08 22:30:19
7067
3
原创 网络安全:DOM型XSS
前言:继《XSS漏洞》前一篇中解释了什么是反射型XSS,然后有了一个问题,反射型XSS有什么用呢?只是用来自娱自乐,别人又看不到。emmm,其实不尽然也。举个例子:<form action="xxx.php" method="get"> <p>username: <input type="text" name="fname...
2019-09-06 22:29:17
1675
2
原创 网络安全:XSS漏洞
前面的几篇文写得有点快了,有些地方囫囵吞枣的划过去。等停下来一段时间,我会慢慢去修改和补充。现在放慢脚步来一点点的写。XSS(Cross Site Scripting),又称跨站脚本攻击。看英文,缩写应该是CSS,但是为了区别前端的CSS(Cascading Style Sheets)层叠样式表,改名为XSS。这也算是“晚辈”对“长辈”的尊敬吧,何况你还属于“暗”,人家在...
2019-09-05 21:31:48
640
原创 网络安全:文件包含
前言:继上篇《网络安全:文件上传 + 一句话木马原理 + 菜刀的简单使用》文件包含,这个名词一出来。我们可能第一个想到的就是c语言里面的头文件的包含,include <stdio.h>,include <stdlib.h>等等。我们知道它的作用就是将头文件包含到当前文件中,从而可以使用头文件中的变量,函数等等。网络中的文件包含和它相似略有不同。...
2019-09-03 22:57:56
622
原创 网络安全:文件上传 + 一句话木马原理 + 菜刀的简单使用
很多的网站提供了文件上传功能,虽然提供了方便的服务,但稍有疏忽,就可能酿成大祸。这里的疏忽是指,不对用户上传的内容进行检查。仍旧以DVWA为例:网站的本意是接受用户的图片(image),但后台代码却并没有对文件进行检测:网页源码(部分截图):php处理源码:文本也贴出来:File Upload Sourcevulner...
2019-09-01 00:05:46
15694
7
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人