Web安全
此系列博客主要基于OWASP TOP 10展开,因为我从去年9月入手web 安全, 持续了半年的输入,让我对web安全稍微有了自己的认识和理解,也找到适合自己的学习途径!
写博客是为了对web安全进行体系化的学习,并掌握3个技能:
1.常见web漏洞的理论知识
2.懂得如何利用并修复
3.挖点垃圾洞
「已注销」
Hacking and hacked.
展开
-
[代码审计篇]php代码审计之浅析Phar伪协议
0x01 前言简要说明写这篇博客的目的只有两个为**[代码审计篇]**中关于php反序列化漏洞的审计作铺垫为上一篇博客做点漏洞原理的补充环境工具Win10Phpstudy_proSublime_Text 3注意(tips)PHAR的使用需要将php.ini设置phar.readonly设置为Off才能用于PHAR对象PHAR 这个词是PHP和 Archive的组合词,基...原创 2020-04-15 22:31:38 · 1457 阅读 · 0 评论 -
[反序列化篇]史上最全PHP反序列化漏洞实例复现姿势详解(补充ing)
0x01实验环境靶场:pikachu+LKWA平台:bugku+攻防世界+0CTF+南邮ctf+其他环境:win10+VPS(ubuntu)+Docker工具:Burp+MantraPortable(注:若有人需要以上靶场或工具,可以进群自取.群号:456396901)预备知识Session反序列化漏洞phar://协议phar文件简单回顾对上一篇博客做一些补充:所谓序列...原创 2020-04-15 05:11:15 · 1559 阅读 · 3 评论 -
[反序列化篇]反序列化漏洞之PHP反序列化全家桶(理论认知)
很久之前,反序列化就已经被我提上了日程,因为之前总是听说反序列化漏洞,所以一直打算学习一波.可是由于各种原因(主要是lazy),那计划就被搁浅了.但是最近在看一些面试题的时候,发现反序列化出现的频率还挺高,于是今晚就打算完成之前没有完成的任务,开淦!其实我的本意是想学Java反序列化的,因为Java反序列化漏洞在业内的地位实在挺高,奈何笔者的Java之旅才刚刚开始,对Java的认识还不够,所以就...原创 2020-04-14 01:52:48 · 202 阅读 · 0 评论 -
基于同源策略对CORS和JSONP的初步认识
前言这几天在拜读道哥的<<白帽子讲Web安全>>这本书,在看浏览器安全这章第一次接触到同源策略(Same Origin Policy)这个词,再加上道哥对SOP(Same Origin Policy)的字里行间都透露着其不二般的重要性,所以SOP自然毫无疑问值得我写一篇博客来记录对它的学习了!此处以一张来自wooyun的截图证明SOP在浏览器安全中的地位正文开始什...原创 2020-04-12 22:26:55 · 195 阅读 · 0 评论