常见漏洞攻防
文章平均质量分 96
不卖杂货的杂货铺
web安全,Pwn,CTF,密码学,Python弟中弟
写给自己:宁静致远,淡泊明志
写给最爱的她:我在文章中藏下了你,希望你看到,也害怕你看到
展开
-
文件包含漏洞利用
文件包含漏洞给是“代码注入”的一种,“代码注入”这种攻击,其原理就是注入一段用户能控制的脚本或代码,并让服务器执行服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节 省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接原创 2022-04-27 00:08:04 · 3057 阅读 · 0 评论 -
文件上传保姆级教程(原理,大小马,CTF,防御,绕狗一句话,upload-labs)
文件上传漏洞简历文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。这种攻击方式是最为直接和有效的,有时候几乎没有什么技术门槛在互联网中,我们经常用到文件上传功能,比如上传一张自定义的图片;分享一段视频或者图片;论坛发帖附带一个附件;在发送邮件时附带附件,等等### 产生原因文件上传功能本身是一个正常业务需求,对于网站来说,很多时候也确实需要用户将文件上传到服务器。所以“文件上传”本身没有问题,但有问题的是文件上传后,服务器怎么处理,解释文件。如果服务器的处理逻辑做原创 2022-04-16 11:46:56 · 2346 阅读 · 0 评论 -
点击劫持(ClickJacking)
点击劫持(ClickJacking)什么是点击劫持点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的,不可见的iframe,覆盖在一个网页上,然后诱导使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱导用户恰巧点击在iframe页面的一些功能性按键上不懂iframe是干什么的同学,自己补充一下利用iframe<!DOCTYPE html><html lang="en"><head>原创 2022-03-30 12:44:01 · 18689 阅读 · 3 评论 -
XXE攻击与防御
XXEXXE是一种很常见的漏洞类型危害也挺大的,如果一个web服务器通过用户上传处理XML文件或POST请求时,那么可能就会存在漏洞。前段时间比较出名的微信支付的xxe漏洞漏洞简历XXE就是XML外部实体注入,当服务器允许引用外部实体时,同过构建恶意内容来攻击网站产生原因解析xml文件时允许加载外部实体,并且实体的URL支持file://和PHP://等协议,没有过滤用户提交的参数危害读取任意文件执行系统命令探测内网端口攻击内网网站DOS攻击…漏洞检测利用burp检测那些接原创 2022-03-26 21:23:46 · 6933 阅读 · 2 评论