
WEB漏洞说明
文章平均质量分 96
本专栏将介绍WEB的常见漏洞的基础知识,以及漏洞复现和实操
KID1412号
这个作者很懒,什么都没留下…
展开
-
WEB漏洞——XXE
本次文章主要介绍XXE漏洞的原理,利用以及防御的过程,另外还有介绍一点XML的基础知识,详情请见下文。a) xml,eXtensible Markup Language,可扩展标记语言,是一种标记语言,使用简单标记描述数据b) xml是一种非常灵活的语言,没有固定的标签,所有标签都可以自定义c) 通常,xml被用于信息的传递和记录,因此,xml经常被用于充当配置文件如果把HTML和XML进行对比的话,HTML进行对比的话,HTML旨在显示数据信息,而XML旨在用来进行数据的传输和存储。原创 2024-04-12 11:40:16 · 1200 阅读 · 0 评论 -
WEB漏洞——SSRF
这次来介绍WEB漏洞的其中一种类型SSRF,文章将通过讲述其原理、如何挖掘以及怎么利用,包括如何防御和绕过,并且提供靶场来举例说明,详情请往下看。社交分享功能:获取超链接的标题等内容进行显示转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览在线翻译:给网址翻译对应网页的内容图片加载/下载:例如富文本编辑器中的点击下载图片到本地;通过URL地址加载或下载图片云服务厂商:它会远程执行一些命令来判断网址是否存活等,所以如果可以捕获相应的信息,就可以进行ssrf测试。原创 2024-04-11 19:56:09 · 947 阅读 · 0 评论 -
WEB漏洞——CSRF
这次我来讲讲web漏洞的CSRF笔记总结,主要通过原理、类型、示例以及防御的角度展开说明,希望读者受益。CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF,是一种对网站的恶意利用。CSRF是通过伪装用户的请求来利用网站,利用网站漏洞从用户那里盗取信息说白了,就是攻击者盗用了你的身份,以你的名义发送恶意请求。原创 2024-04-11 13:45:00 · 912 阅读 · 0 评论 -
WEB漏洞——XSS
JavaScript是一种直译式的脚本语言、是一种动态类型、弱类型、基于原型的语言,内置支持类型。虽然JavaScript使用了Java这个名称,但实际上JavaScript与Java之间并没有任何关系。XSS攻击最终目的是在网页中嵌入客户端恶意代码,最常用的攻击代码是JavaScript语言,但也会使用其它的脚本语言,例如:ActionScript、VBScript。而如今的胡来那我客户端脚本基本上是基于JavaScript,所以如果想要深入研究xss,必须要精通JavaScript。原创 2024-04-10 13:15:00 · 992 阅读 · 1 评论 -
WEB漏洞——文件上传
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类,当该扩展名文件被访问的时候,浏览器会自动使用知道应用程序来打开。多用于知道一些客户端自定义的文件名,以及一些媒体文件打开方式。网站允许上传任意文件,然后检查上传文件是否包含Webshell,如果包含删除文件。网站允许上传任意文件,但是如果不是指定类型,那么使用unlink删除文件。原创 2024-04-09 18:56:38 · 1586 阅读 · 0 评论