OWASP TOP10
文章平均质量分 80
z4yn:)
这个作者很懒,什么都没留下…
展开
-
OWASP TOP10 - SSRF
SSRFThis room aims at providing the basic introduction to Server Side request forgery vulnerability(SSRF).0x01 简述简单地说,SSRF是web应用程序中的一个漏洞,攻击者可以通过服务器进一步发出HTTP请求。攻击者可以利用此漏洞与服务器网络上通常受防火墙保护的任何内部服务进行通信。现在,如果您关注上面的图表,在正常情况下,攻击者只能访问网站并查看网站数据。运行网站的服务器可以与内原创 2021-03-05 10:30:31 · 207 阅读 · 4 评论 -
SSTI(服务器端模板注入)
SSTI(服务器端模板注入)0x01 简介模板引擎允许开发人员使用带有动态元素的静态HTML页面。例如,静态配置文件.html一个模板引擎将允许开发人员设置一个用户名参数,该参数将始终设置为当前用户的用户名服务器端模板注入是指用户能够传入一个参数,该参数可以控制服务器上运行的模板引擎。例如:这引入了一个漏洞,因为它允许黑客将模板代码注入网站。从XSS一直到RCE,其影响可能是毁灭性的。注意:不同的模板引擎具有不同的注入有效负载,但是通常您可以使用{{2+2}}作为测试来测试...原创 2021-02-26 12:45:05 · 423 阅读 · 0 评论 -
OWASP TOP10 - 注入
注入 注入漏洞说明:应用程序将用户可控制的输入解析为实际命令或参数。注入攻击取决所使用的技术及这些技术对输入的解析。常见的实例包括:SQL注入:将用户控制的输入传递给SQL查询时。攻击者可以传入SQL查询来操作此类查询的结果。当输入的恶意SQL语句传递到数据库查询中时。可以查询,修改,删除数据库中的信息。 命令注入:当用户输入传递给系统命令时。攻击者能够在应用程序服务器上执行任意系统命令。在服务器上执行任意系统命令,使攻击者可以访问用户系统,执行任意操作。 SQL注入...原创 2020-07-22 20:32:22 · 531 阅读 · 0 评论