web漏洞原理
文章平均质量分 54
学习web漏洞如何攻击,如何防范。
qq_58553228
这个作者很懒,什么都没留下…
展开
-
【SSRF】
SSRF (Server-Side Request Forgery 服务端请求伪造)原创 2024-07-06 13:10:27 · 250 阅读 · 0 评论 -
【文件上传】
服务端未对客户端上传文件进行严格的 验证和过滤造成可上传任意文件情况;原创 2024-07-02 23:00:06 · 296 阅读 · 0 评论 -
【ClickJacking】
其他方案:Firefox的"Content Security Policy"和No-Script扩展 低于ClickJacking。点击劫持是一种视觉上的欺骗手段。如攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作。不足:如HTML5的sandbox属性和IE 中iframe的security属性限制iframe页面执行js的执行。X-Frame-Options是一个Http头。方法2:X-Frame-Options。诱导目标点击已经构造的页面。原创 2024-07-01 16:18:54 · 177 阅读 · 0 评论 -
【CSRF】
对一个博客系统点击发布文章时,Burp Suite抓包,右键CSRF PoC功能 -> Engagament tools -> Generate CSTF Poc ,HTML代码为CSRF漏洞测试代码,对其代码发布到一个网站,再诱导 目标用户点击,则目标用户会自动发布一篇文章。原理:诱导用户在访问第三方site时,访问攻击者构造的site,攻击者site会对原site进行恶意操作。如果网站返回给浏览器的HTTP头中包含有P3P头,则在某种程度上来说,将允许浏览器发送第三方Cookie。原创 2024-07-01 15:53:30 · 196 阅读 · 0 评论 -
【SQL注入】
SQL注入:通过可输入/修改sql参数实现攻击的过程。原创 2024-06-29 23:13:10 · 672 阅读 · 0 评论