- 博客(7)
- 收藏
- 关注
RSS订阅原创 文件上传与下载
原理:在后台开发时并没有对上传的文件进行安全考虑或采用了有缺陷的安全措施,导致攻击者可以通过一些手段绕过安全措施从而上传一些恶意文件,从而通过该恶意文件的访问来控制整个后台。原理:网站对用户查看或下载的文件没有做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞。任何从服务器端获取数据的过程都属于文件下载,默认情况下由浏览器打开展示。将本地文件保存到服务器上的过程,叫做文件上传。1.什么是文件上传?文件上传的原理是什么?2.什么是文件下载?文件下载的原理是什么?
2024-03-27 17:14:26
94
原创 xss的总结
一、xss简介什么是XSSXXS攻击目的是在网页中嵌入客户端恶意脚本,最常用的攻击代码是JavaScriptXSS漏洞出现的原因程序对输入和输出的控制不够严格,导致"精心构造“的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害XSS的危害劫持用户cookie、点击构造的链接触发劫持cookie、框架钓鱼、刷流量、挂马、键盘记录、需要设置跨域二、xss的分类反射型XSS 中危。
2024-03-27 17:03:23
349
原创 http协议
301 表示永久重定向到另一个url。以后客户端应使用新url替换原来的url。302 表示暂时重定向到另一个url。200 表示已成功提交请求,且响应主体中包含请求结果。201 create put请求的响应返回这个状态码。400 表示客户端提交了一个无效的http请求。401 表示服务器许可请求之前要先进行身份验证。500 表示服务器执行请求时遇到错误。User-agent 请求者信息。404 客户端所请求的资源不存在。xff 请求段真实IP和代理。referer 链接来源。host 请求的域名。
2024-03-26 12:51:25
152
原创 web安全【xss命令总结】
把% url编码成 %25 ,如果后台对参数有再次进行url decode 或者输出的时候有 url decode 就可以绕过WAF。"> < a href=“javascript:alert(1)”>漏洞。<IMGSRC=java(16进制编码)XSS')>" οnmοuseοver=alert(1) 空格。’ οnmοuseοver=alert(1) 空格。
2024-03-26 12:37:05
723
原创 记录一次evillimiter限速
第二步kali Linux安装evillimiter。evillimiter使用scan扫描存活主机。evillimiter用hosts,查看ip。第一步使用代理找到evillimiter。使用以下命令打开evillimiter。Scan扫描一下存活主机。
2023-05-30 21:47:26
724
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人