漏洞
文章平均质量分 90
不知名hack
不知名网络安全从业者
展开
-
文件包含漏洞
文件包含漏洞就是使用函数去包含任意文件的时候,当包含的文件来源过滤不严谨的时候,当存在包含恶意文件后,就可以通过这个恶意的文件来达到相应的目的。仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击者更多的会包含一些固定的系统配置文件,从而读取系统敏感信息。很多时候本地文件包含漏洞会结合一些特殊的文件上传漏洞,从而形成更大的威力。能够通过url地址对远程的文件进行包含,这意味着攻击者可以传入任意的代码。原创 2024-04-08 20:26:19 · 1088 阅读 · 0 评论 -
敏感信息泄露漏洞
敏感信息(也称作敏感数据)是指由权威机构确定的必须受保护的信息。不当使用或未经授权被人接触或修改后,会产生不利于国家和组织的负面影响和利益损失,或不利于个人依法享有的个人隐私的所有信息。敏感信息根据其信息种类的不同,可大致分为个人敏感信息、商业敏感信息、国家的敏感信息。原创 2024-04-06 21:53:59 · 1129 阅读 · 1 评论 -
跨站请求伪造漏洞(CSRF)
CSRF(Cross-Site Request Forgery),也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。原创 2024-04-05 17:39:52 · 1133 阅读 · 0 评论 -
暴力破解漏洞
锁定机制绕过(撞库攻击):撞库攻击一般是指黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。常见图片验证码绕过场景:图片验证码输入一次正确可重复使用;通过burpsuite进行爆破短信验证码字段,长度为xxx的数据是正确注册后返回的数据包。暴力破解发现,系统在进行多次失败登录的情况下会出现验证码,而且会锁定账户。通过爆破短信验证码,成功实现任意用户注册。系统注册时需要输入验证码,验证码为四位。验证码绕过(图片验证码、短信验证码)原创 2024-04-05 17:36:45 · 321 阅读 · 0 评论