- 博客(5)
- 收藏
- 关注
RSS订阅原创 【OWASP Juice Shop】二星通关
在给客户端做程序的时候,他直接把一个用来测试的账号的用户名和密码(这些信息是有效的,可以用来登录之类的),就这么固定地写死在程序代码里了(这就是硬编码)。简单来说,元数据就是用来描述数据的数据,它可以提供关于数据的各种信息,例如数据的来源、创建时间、作者、数据格式、数据内容的描述等。:在 Windows 7 及以上系统中,可通过鼠标右键点击图片,选择 “属性”,在弹出的属性窗口中切换到 “详细信息” 标签页,即可查看图片的元数据,如相机型号、镜头、曝光、图片尺寸等 EXIF 信息。
2025-05-09 09:10:24
753
原创 【OWASP Juice Shop】一星通关
由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。比如:---通过访问url下的目录,可以直接列出目录下的文件列表;(该漏洞的情况)---输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息;---前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等;类似以上这些情况,我们成为敏感信息泄露。
2025-05-08 14:59:50
1621
原创 【OWASP Juice Shop】下载安装
下载对应版本的OWASP juice shop 和对应的node。先在项目根目录启动:npm start。我下载的:node 18.19。
2025-05-08 14:57:02
212
原创 pikachu-XSS跨站脚本通关
我们可以把DOM理解为一个一个访问HTML的标准的编程接口。DOM是一个前端的接口,并没有和后端做任何的交互。W3Cschool上有一个介绍DOM的树形图我把他截取下来了。
2025-04-28 14:04:23
1461
原创 【数据库安全】SQL注入漏洞测试(参数加密)
AES加密+两次Base64编码:eGdkNThpcFRybng4VnpTQkppY3FDaWJaeElSc1pLZ1hPWVVyTlFQOGZDQ3R4OUpaKzZLMWhIdDdSS2t6VjMwNQ==-1 union select 1,database(),user(),4_mozhe(查找当前数据库的用户名和数据库。数据库名:mozhe_Discuz_StormGroup。步骤四 能成功解出来,尝试进行sql注入。经过多次尝试,发现列的数量就是4!咱该找的找齐了,开干看是什么东东。
2025-04-21 12:09:53
690
空空如也
Windows安全中心黄色感叹号
2022-12-15
TA创建的收藏夹 TA关注的收藏夹
TA关注的人