r_deku的博客

原创 xxe

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档文章目录前言一、xxe漏洞简介二、xxe漏洞利用1.实验一：有回显读本地敏感文件（Normal XXE）2.实验二：无回显读取本地敏感文件（Blind OOB XXE）前言认识XXE之前必学认识XML，XML 指可扩展标记语言（Extensible Markup Language）XML是用于 标记电子文件 使其具有 结构性 的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包

原创 Web安全公开课-命令执行漏洞01

原创 Web安全公开课-SQL注入-进阶篇02

原创 Web安全公开课-SQL注入-进阶篇01

原创 Web安全公开课-SQL注入-基础篇

数据库结构：列名后面加个desc就是倒序排列

原创 Web安全公开课-文件包含-进阶篇

目录1.文件包含漏洞利用方式2.文件包含漏洞绕过方法3.文件包含漏洞防御第二种方法这表示成功了

原创 Web安全公开课-文件包含-基础篇

目录1.文件包含漏洞概述2.文件包含漏洞类型及利用3.文件包含漏洞危害4.练习实践…/的意思是返回上一级。一句话木马：

原创 文件上传-进阶篇之编辑器漏洞

1.常见编辑器： FCKeditor、 Ewebeditor、 UEditor、 KindEditor等2.漏洞环境：使用 phpStudy进行环境搭建3.漏洞分析：发现存在黑名单文件4.漏洞复现：绕过服务端黑名单检测下面开始：试验结束。...

原创 文件上传-进阶篇之CMS实战

原创 Web安全公开课-文件上传-基础篇

CONTENTS1 fileupload基础：文件上传简介、文件上传检测流程、漏洞产生及危害2.绕过客户端检测：绕过客户端 JavaScript检测3.绕过服务端检测：绕过服务端MIME类型检测、黑白名单及文件内容检测4. upload绕过总结：简述其他绕过姿势、总结常用绕过姿势...

原创 Web安全公开课-环境搭建与基本工具使用

环境准备&基本工具使用Vmware虚找机Vmware虚拟机安装及基本使用2.java、 pythonJava、 python环境安装3.中国菜刀、C刀中国菜刀、C刀基本用法burpsuiteburpsuite、浏览器代理插件安装及基本使用算了，不会去百度就ok....

原创 Web安全公开课-浏览器安全

浏览器安全1.同源策略（SOP）2.内容安全策略（CSP）3.浏览器沙箱&恶意网址拦截4.浏览器漏洞实列下面开始1.同源策略（SOP）好了，结束。

原创 Web安全公开课-HTTP/HTTPS协议介绍

HTTP&HTTPS介绍1.HTTP简介2.HTTP消息结构3.HTTP请求头字段4.HTTPS协议介绍下面开始讲解：URI和URL的区别URL是URI的一个子集左边是请求，右边是响应。上面的那个不是URL应该改为文件路径。请求正文是POST才会有,GET一般没有。好了，完了。...

原创 Web安全公开课-XSS-XSS进阶

本次讲解的目录有：1.跨站脚本攻击漏洞接收平台2.跨站脚本攻击漏洞绕过及防御3.跨站脚本攻击漏洞实操下面开始1.跨站脚本攻击漏洞接收平台下面举了两个例子：2.跨站脚本攻击漏洞绕过及防御3.跨站脚本攻击漏洞实操好了，结束了。...

原创 Web安全公开课-XSS-XSS基础

这次的目录分为：01跨站脚本攻击漏洞概述02.跨站脚本攻击漏洞类型及场景03.跨站脚本攻击漏洞实操下面开始讲解01跨站脚本攻击漏洞概述那什么是跨站脚本攻击？跨站脚本（ Cross-site Scripting）攻击，攻击者通过网站注入点注入客户端可执行解析的 payload（脚本代码），当用户访问网页时，恶意 payload自动加载并执行，以达到攻击者目的（窃取 cookie、恶意传...

原创 Web安全公开课-XSS-前端基础

这节课分两个部分讲：1.HTML概述2. javascript概述什么是HTML呢？HTML是种超文本标记语言，英文名字叫 HyperText Markup Language。超级文本标记语言是—种规范，也是一种标准，它通过标记符号来标记要显示的网页中的各个部分。HTML的特点:html文件是一个文本文件；其后缀名.html或者.xhtml。html可以直接由浏览器执行 。这是...