笔记
关注
分享
扫一扫
文章平均质量分 86
不见星光见月光
热爱网安
展开
-
CSRF漏洞
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录什么是CSRF漏洞CSRF原理CSRF特点CSRF漏洞检测防御CSRF攻击:DVWA实例:security:lowsecurity:mediumsecurity:high总结什么是CSRF漏洞CSRF(Cross-site request forgery),也被称为:one click attack/session riding,中文名称:跨站请求伪造,缩写为:CSRF/XSRF。一般来说,攻击者通过伪造用户的浏览器的请求,原创 2022-01-09 17:36:30 · 3064 阅读 · 4 评论 -
文件上传漏洞
这里我主要是先通过讲解的内容再利用dvwa进行演示。文章目录漏洞原理以及危害:漏洞的利用:此处造成恶意上传的有三种原因:绕过方法:前端js检测:MIME检测:文件后缀名黑名单检测:后缀名大小写绕过:利用windows特征绕过:将非法的后缀过滤为空:.htaccess绕过:.user.ini绕过:00截断绕过:0x00绕过:对WAF的一些绕过姿势1:安全狗绕过2:WTS-WAF绕过:3:百度云上传绕过4:360主机上传绕过5:CONTENT-LENGTH绕过6:文件内容检测绕过防御:防范文件上传漏洞常见的原创 2022-01-08 11:51:27 · 2028 阅读 · 0 评论 -
命令注入漏洞
exec1打开文件php文件。代码如下:<?php // Get input 获取输入 $target = $_REQUEST[ 'ip' ]; // var_dump($target); $target=trim($target); // var_dump($target); // Set blacklist 设置黑名单 $substitutions = array( '&' => '', ';' => '', '|' => '',原创 2022-01-05 23:21:21 · 1457 阅读 · 0 评论 -
SQL注入工具-----sqlmap
合天网安笔记利用sqlmap进行文件的读写简介:sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post ,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。第一步:首先设置好靶机打开http:10.1.1.136,输入用户名:admin 密码:password 登入找到SQL Injection随意输入一个数,打开burpsuite进行抓包,点原创 2021-10-25 22:24:58 · 3767 阅读 · 0 评论