注入类漏洞
各种注入
三体-二向箔
这个作者很懒,什么都没留下…
展开
-
Web渗透(三)bWAPP之HTML注入篇
0x01:什么是HTML注入?HTML注入(Hypertext Markup Language Injection)中文意思是“超文本标记性语言注入”,众所周知HTML含有各种标签,如果Web应用程序对用户输入的数据没进行彻底的处理的话,那么一些非法用户提交的数据可能含有HTML其他标签,而这些数据又恰好被服务器当作正常的HTML标签显示,那么最终的结果是非法标签被解析(可以应用于钓鱼、社...原创 2019-01-28 15:12:27 · 2231 阅读 · 0 评论 -
Web渗透(二)HTML注入知识整理
HTML注入知识整理1、什么是HTML注入2、HTML注入类型3、漏洞挖掘4、修复建议1、什么是HTML注入HTML注入有时也被称为虚拟污染。这实际是一个由站点造成的攻击,该站点允许恶意用户向其Web页面注入HTML,并且没有合理处理用户输入。换句话说,HTML注入漏洞是由网站接收HTML引起的,一般出现在网站页面的表单输入。由于HTML是用于定义网页结构的语言,如果攻击者可以注入HTML,它们基本上可以改变浏览器呈现的内容。有时,这可能会导致页面外观的完全改变,或在其他情况下,创建表单来欺骗用户。例原创 2020-08-23 17:53:30 · 6093 阅读 · 2 评论 -
Web渗透(一)CRLF注入简介
CRLF注入简介1、基础知识2、原理分析3、漏洞挖掘4、防御手段5、CRLF Payload:1、基础知识HTTP报文结构从上图可以看到:HTTP报文由三部分组成:状态行、首部、主体。可以看到状态行和首部中的每行都是以回车符(\r,%0d,CR)和换行符(\n,%0a,LF)结束。十六进制编码分别为0x0d和0x0a,URL编码为%0D和%0A这是因为HTTP规范中行应该使用CRLF结束。另外,首部和主体由两个CRLF分隔。2、原理分析CRLF是 “ 回车+换行 ”(\r\n)的简称。原创 2020-08-21 14:30:42 · 6382 阅读 · 0 评论