常见漏洞
文章平均质量分 77
。
c1o22
hold on hope
展开
-
远程代码执行漏洞利用与防御
远程代码/命令执行(Remote Code/Command Execute),由于程序中预留了执行代码或命令的接口,并提供了给用户使用的界面,导致被利用控制服务器。原创 2022-12-07 23:41:36 · 608 阅读 · 0 评论 -
文件上传漏洞利用与防御
文件上传漏洞用户上传了一个可执行的脚本文件,并通过这个脚本文件获得了执行服务器端命令的能力 漏洞危害 挂黑链提高网站权重 占用服务器cpu进行挖矿 网站源码泄露 漏洞利用 1.找到上传点 2.绕过校验上传文件 3.获得文件位置 4.文件可被访问、执行或包含 漏洞防御 扩展名黑白名单 MIME类型校验 文件头校验 文件内容二次渲染 上传的文件重命名 不回显上传位置原创 2022-11-11 18:52:55 · 793 阅读 · 0 评论 -
逻辑漏洞基础
逻辑漏洞基础 逻辑漏洞介绍 注册 登录 找回密码 支付 会员系统 传输过程、评论 验证码逻辑漏洞介绍逻辑漏洞就是基于开发人员设计程序的时候,逻辑不严密,导致攻击者可以修改、绕过或者中断整个程序,让程序按照开发人员的预料之外去执行注册 短信轰炸、验证码安全、密码爆破、邮箱轰炸 户任意注册、批量注册 用户名枚举 XSS原创 2022-10-27 16:04:11 · 240 阅读 · 0 评论 -
文件包含漏洞利用和防御
文件包含漏洞利用和防御 文件包含漏洞 PHP相关函数 PHP伪协议文件包含漏洞使用函数包含指定文件的代码,没对函数的参数进行过滤,可被用户控制包含恶意文件并执行代码 漏洞分类 本地文件包含:目录遍历、任意文件读取、包含日志文件getshell、图片马getshell、伪协议读取文件/命令执行、包含phpinfo上传的临时文件 远程文件包含:远程木马getshell(需要allow_url_fopen和allow_url_include都是on)原创 2022-10-26 19:07:29 · 1387 阅读 · 0 评论 -
密码暴力破解
密码暴力破解 什么是暴力破解 不安全的密码 密码猜解思路 Python暴力破解 BurpSuite暴力破解 DVWA的low等级暴力破解 DVWA的high等级暴力破解 其他暴力破解工具 wfuzz Hydra Medusa msfconsole 如何防御暴力破解 服务器防御原创 2022-03-31 15:27:31 · 4264 阅读 · 0 评论 -
SSRF漏洞基础
SSRF(Server-Side Request Forgery服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。SSRF攻击的目标一般是从外网无法访问的内部系统漏洞成因服务端提供了从其他服务器应用获取数据的功能,但没有对目标地址做严格过滤与限制常见出现SSRF的业务场景。原创 2022-03-28 20:26:45 · 2611 阅读 · 0 评论 -
PHP反序列化漏洞
magic方法 PHP序列化与反序列化 Typecho反序列化漏洞原创 2022-03-24 15:52:32 · 2319 阅读 · 0 评论 -
Redis未授权访问
Redis未授权访问原创 2022-03-11 16:46:16 · 2885 阅读 · 0 评论