小迪安全学习
文章平均质量分 95
Dues_D
这个作者很懒,什么都没留下…
展开
-
XSS漏洞个人总结
初级xss攻击思路,绕过原创 2022-04-26 22:15:43 · 2798 阅读 · 0 评论 -
文件包含漏洞总结
目录#文件包含各个脚本代码#文件包含漏洞的检测#本地包含-无限制,有限制#远程包含-无限制,有限制#文件包含结合伪协议#文件包含漏洞防范措施文件包含的作用:将文件以脚本的格式执行(根据当前网站脚本类型)#文件包含各个脚本代码第八个 C 语言那个,是包含远程文件,其余的是包含本地文件文件包含在 php 中,涉及到的危险函数有四个,分别是include()、include_once()、require()、require_once()。区别如下:原创 2022-04-10 21:09:19 · 2813 阅读 · 0 评论 -
RCE代码及命令执行漏洞简解
在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代 码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏 洞。同样调用系统命令处理,将造成命令执行漏洞。RCE:远程命令/代码执行(remote command/code execute)在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符原创 2022-04-09 16:08:16 · 2331 阅读 · 0 评论 -
CSRF和SSRF漏洞案例讲解
CSRF的概念CSRF:跨站请求伪造(Cross-site request forgery)CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。当用户访问含有恶意代码的网页时,会向指定正常网站发送非本人意愿的数据请求包(如转账给hack,向hack发送API等)如果此时用户恰好登录了该正常网站(也就是身份验证是正常的)就会执行该恶意代码的请求,从而造成CSRF。与在XSS章节中提到的在博客里写入获取cookie的代码,在管理员登录后台查看时就会窃取其cookie有异曲..原创 2022-04-09 15:18:39 · 3375 阅读 · 0 评论 -
文件上传漏洞总结
目录1、文件上传漏洞原理2、常见的文件上传类型3、文件上传注入点4、web中常见的上传验证黑名单常见自定义过滤规则白名单常见的过滤规则5、逻辑数组绕过5.1、图片一句话木马的制作与利用5.2、文件头检查5.3、getimagesize()图像信息判断5.4、竞争条件攻击5.5、突破exif_imagetype()5.6、脚本解析漏洞6、WAF绕过1、文件上传漏洞原理网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上原创 2022-03-18 12:48:47 · 10279 阅读 · 2 评论