![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
学习笔记
文章平均质量分 78
茶七七~
这个作者很懒,什么都没留下…
展开
-
文件上传( upload-labs解题)
文件上传解题(绕过JS校验上传-前端)例:upload-labs-master/Pass-01上传一个php文件,可以看到有弹窗弹出,不被允许上传2.将php文件后缀名改为jpg ,进行抓包3.将“1.jpg”改为“1.php” forward一下4.查看文档,存在PHP文件。即上传成功文件头检测-服务器端例:upload-labs-master/Pass-14先用PHP文档测试一下,不行。随便输入一些数值进行抓包将输入数值直接改为 GIF 89A(或者也可把所对应对原创 2021-04-12 21:05:58 · 294 阅读 · 0 评论 -
小白的XSS解题过程
XSS题(判断value使用的是单引号还是双引号方法:输入 ’ " > 三个字符测试闭合,查看文本框内的内容 文本框无内容就是单引号,内容为 ’ 即为双引号)直接使用基础的XSS代码即可<script>alert(1)</script>测试结果显示找不到,即查看源码,可看到 value=”test” 所以这里需要先将value属性闭合,然后使用javascript脚本调出alert函数过关//输入代码回车 //是为了将后面的">注释掉">&原创 2021-04-12 20:37:40 · 371 阅读 · 1 评论 -
CSRF
CSRF漏洞XSS: 利用用户对站点的信任CSRF:利用站点对已经身份认证的信任原理:结合社工在身份认证会话过程中实现攻击(诱使已经身份认证的用户点击链接,便会执行请求):1.修改账号密码,个人信息(email,收货地址)2.发送伪造的业务请求(网银,购物,投票)3.关注他人社交账号,推送博文4.在用户非自愿,不知情的情况下提交请求业务逻辑漏洞:对关键操作(例如修改密码,修改身份信息等)缺少确认机制(验证码等)自动扫描程序无法发现此类漏洞(是正常的访问请求,在服务器看来就是合法用原创 2021-03-23 19:34:43 · 305 阅读 · 0 评论 -
XSS漏洞
XSS漏洞XSS漏洞 十大漏洞之一Xss被称为跨站脚本攻击,xss通过将精心构造的代码(JS)代码注入到网页,并由浏览器解释运行这段JS代码,达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。XSS的对象是用户和浏览器。微博,留言板,聊天室等等收集用户输入的地方,都有可能被注入XSS代码,都存在遭受XSS的风险,只要没有对用户的输入进行严格过滤,就会被XSS。攻击者将恶意代码注入到服务器中用户在没有防备的情况下原创 2021-03-20 15:13:38 · 508 阅读 · 1 评论