- 博客(3)
- 收藏
- 关注
RSS订阅原创 Web安全-文件包含
一、了解文件包含了解文件包含什么是文件包含:为了更好地使用代码的重用性,引入了文件包含函数,通过文件包含函数将文件包含进来,直接使用包含文件的代码,简单点来说就是一个文件里面包含另外一个或多个文件。漏洞成因:文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码。PHP引发文件包含的四个函数include() ...
2020-04-17 21:24:13
464
原创 Web安全-sql注入总结
一、简介了解SQL注入原理:我都理解是,用户把不合法的语句通过web提交的方式带到数据库中执行(SQL语句),不按照设计者的设计思维进行数据查询,从而获得自己想要的数据。web的提交方式为表单、输入域名、页面请求。危害:sql注入一直是高危漏洞,它可以获取敏感信息、修改信息、脱裤、上传webshell等。附带上我哥们的所写的原理:SQL注入即是指web应用程序对用户输入数据的合法性没有...
2020-04-17 21:22:57
722
原创 PHP之XXE漏洞靶场详解
PHP之XXE漏洞靶场详解00x1 什么是XXE简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。00x2 XML基础知识XML是一...
2019-12-09 10:44:00
4008
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人