![](https://img-blog.csdnimg.cn/20190927151117521.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
farmsec漏洞原理篇学习笔记
文章平均质量分 59
主要记录一下重点内容和个人总结。
Aqua丿
这个作者很懒,什么都没留下…
展开
-
SSRF漏洞笔记
SSRF:(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造特殊形成的请求,并且由指定服务器端发起恶意请求的一个安全漏洞。 由于业务运行的服务器处于内外网边界,并且可通过利用当前的这台服务器,根据所在的网络,访问到与外部网络隔离的内网应用,所以一般情况下,SSRF漏洞的攻击目标是攻击者无法直接访问的内网系统。原创 2023-02-08 16:13:54 · 386 阅读 · 0 评论 -
文件上传漏洞笔记
由于程序员在对用户文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。原创 2023-01-09 20:01:57 · 797 阅读 · 0 评论 -
文件包含漏洞笔记
文件包含漏洞(File Inclusion)是一种最常见的依赖于脚本运行而影响 Web 应用程序的漏洞。当应用程序使用攻击者控制的变量建立一个可执行代码的路径,允许攻击者控制在运行时执行哪个文件时,就会导致文件包含漏洞。原创 2022-12-28 22:48:34 · 144 阅读 · 0 评论 -
命令注入笔记
应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、 passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命令。 拼接到正常命令中,从而造成命令注入攻击,这就是命令注入漏洞。原创 2022-12-28 22:42:52 · 60 阅读 · 0 评论 -
xss笔记
当一个网站存在用户输入的内容能直接显示在页面上的功能时(如评论、登录提示等),就可以判断可能存在xss漏洞。xss攻击的原则是谁打开谁被攻击,即任何人访问被注入xss恶意代码的网站都会执行xss攻击代码。原创 2022-12-28 22:40:38 · 96 阅读 · 0 评论 -
csrf笔记
CSRF(Cross-site request forgery),跨站请求伪造是指利用受害者尚未失效的身份认证信息(cookie 、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作。原创 2022-12-28 22:38:18 · 77 阅读 · 0 评论 -
SQL注入笔记
利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。原创 2022-12-28 22:34:22 · 1157 阅读 · 0 评论 -
HTTP、HTTPS协议笔记
HTTP、HTTPS协议笔记原创 2022-08-17 18:53:35 · 57 阅读 · 0 评论 -
BurpSuite笔记
BurpSuite笔记原创 2022-08-17 18:51:41 · 460 阅读 · 0 评论