Web安全
文章平均质量分 96
kit_1
这个作者很懒,什么都没留下…
展开
-
SSRF总结
文章目录SSRF概述SSRF危害SSRF利用方式SSRF相关协议利用file(读取内网文件)http/https(扫描内网存活主机)dict(扫描内网端口)gopherSSRF中各类编程语言的限制phppythonjavaSSRF修复方案SSRF绕过技巧SSRF概述SSRF是Server-side Request Forge的缩写,即服务端请求伪造。这个漏洞最大的特点是改变了大多数漏洞恶意请求从客户端发出的情况。通过利用具有SSRF漏洞的服务端向其他服务器获取数据这一功能,将恶意数据以SSRF服务器作为原创 2021-06-30 23:06:33 · 936 阅读 · 0 评论 -
cookie安全性
文章目录cookie概述cookie的储存cookie的属性cookie的安全问题httponly无session验证cookie覆盖攻击cookie概述由于HTTP协议是无状态的,而服务器端的业务必须是要有状态的。Cookie诞生的最初目的是为了存储web中的状态信息,以方便服务器端使用。比如判断用户是否是第一次访问网站。cookie的流程如下图所示。第一次访问后服务端铜鼓set-cookie报文头在客户端设置一个cookie字段。之后客户端每次访问cookie指定域名的地址都会在请求中加上cook原创 2021-05-16 22:26:54 · 635 阅读 · 0 评论 -
JWT安全问题
文章目录JWT概述JWT组成header(头部)payload(负载)signature(签名)JWT的安全问题敏感信息泄露None算法弱密钥JWT概述Json Web Token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。客户端与服务器通信时,身份验证通过后服务端原创 2021-05-16 11:00:25 · 1824 阅读 · 0 评论 -
从Flask入门SSTI
flask基本知识SSTI靶场通关记录绕过方式总结原创 2021-05-14 21:16:08 · 1390 阅读 · 5 评论