- 博客(12)
- 收藏
- 关注
RSS订阅原创 SSRF漏洞笔记
SSRF:(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造特殊形成的请求,并且由指定服务器端发起恶意请求的一个安全漏洞。 由于业务运行的服务器处于内外网边界,并且可通过利用当前的这台服务器,根据所在的网络,访问到与外部网络隔离的内网应用,所以一般情况下,SSRF漏洞的攻击目标是攻击者无法直接访问的内网系统。
2023-02-08 16:13:54
281
原创 文件上传漏洞笔记
由于程序员在对用户文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。
2023-01-09 20:01:57
773
原创 文件包含漏洞笔记
文件包含漏洞(File Inclusion)是一种最常见的依赖于脚本运行而影响 Web 应用程序的漏洞。当应用程序使用攻击者控制的变量建立一个可执行代码的路径,允许攻击者控制在运行时执行哪个文件时,就会导致文件包含漏洞。
2022-12-28 22:48:34
134
原创 命令注入笔记
应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、 passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命令。 拼接到正常命令中,从而造成命令注入攻击,这就是命令注入漏洞。
2022-12-28 22:42:52
57
原创 xss笔记
当一个网站存在用户输入的内容能直接显示在页面上的功能时(如评论、登录提示等),就可以判断可能存在xss漏洞。xss攻击的原则是谁打开谁被攻击,即任何人访问被注入xss恶意代码的网站都会执行xss攻击代码。
2022-12-28 22:40:38
90
原创 csrf笔记
CSRF(Cross-site request forgery),跨站请求伪造是指利用受害者尚未失效的身份认证信息(cookie 、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作。
2022-12-28 22:38:18
74
原创 SQL注入笔记
利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
2022-12-28 22:34:22
1131
原创 Virtualbox 启用嵌套 vt-x/amd-v 无法点击的解决方法
Virtualbox 启用嵌套 vt-x/amd-v 无法点击的解决方法。
2022-07-29 09:08:27
4854
2
原创 Markdown总结笔记(自用)
标题标题 一级标题(#和标题之间有空格)标题 二级标题标题 三级标题字体Hello,World! 粗体Hello,World! 斜体Hello,World! 粗体+斜体Hello,World! 删除线引用引用的内容分割线(3个-或者3个*)图片 方括号内:图片描述,括号内:图片链接超链接百度列表有序列表1有序列表2有序列表3无序列表1 (-空格)表格序号|姓名|性别1|张三|男代码java (3个`+代码语言名 结尾要用3个结束)p
2022-02-27 05:32:36
174
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人