- 博客(7)
- 收藏
- 关注
RSS订阅原创 SSRF(服务器端请求伪造)漏洞解析
SSRF(服务器端请求伪造,Server-Side Request Forgery)是一种网络安全漏洞,它允许攻击者通过受害服务器发起请求。这种攻击通常会利用服务器的信任关系,通过伪造请求来访问内部网络、敏感信息或其他服务,从而进行进一步的攻击或窃取数据。
2024-06-25 22:40:20
784
原创 XSS(跨站脚本攻击)漏洞解析(带靶场演示)
XSS(跨站脚本攻击,全称Cross-Site Scripting)是一种常见网络安全漏洞,允许攻击者在用户浏览器中执行恶意脚本。攻击者通过在受信任网站中注入恶意代码,诱骗用户点击或加载恶意内容,从而窃取数据、篡改页面或劫持用户。
2024-06-24 22:16:50
1050
原创 XXE漏洞解析(带代码演示+靶场实战)
XXE(XML External Entity)是一种安全漏洞,发生在应用程序解析XML输入时。攻击者可以通过该漏洞插入恶意的外部实体,从而获取系统文件或执行其他恶意操作。核心是我们输入的代码,会被当作xml代码执行XML(可扩展标记语言,Extensible Markup Language)是一种用于表示结构化信息的标记语言。它由W3C(万维网联盟)开发,用于存储和传输数据。XML的主要特点包括:1、自我描述:XML文档包含数据以及数据的结构信息,使用标签来标记数据。
2024-06-13 23:06:06
943
原创 PHP反序列化漏洞(详细篇)
序列化是指将数据结构或对象转换为一串字节流的过程,使其可以在存储、传输或缓存时进行持久化。反序列化是将数据从序列化的形式转换回其原始的数据结构或对象的过程。在PHP中,魔术方法(Magic Methods)是一组预定义的特殊方法,它们以双下划线(__)开头和结尾。这些方法会在对象的特定时刻自动调用,从而允许程序员在对象生命周期的不同阶段执行自定义操作。魔术方法使得在类中实现某些行为变得更加灵活和便捷。pop链就是利用了PHP中对象的自动调用魔术方法特性,将多个类和方法串联起来形成一个。
2024-06-13 16:22:33
838
原创 文件上传漏洞解析(终结篇)
一、基本概念及原理1、什么是文件上传漏洞文件上传漏洞是指服务器允许用户上传文件,但未能正确验证和限制文件的类型、大小、内容或路径,从而使攻击者能够上传恶意文件。这些文件可以包含可执行代码、脚本或着其他有害内容。2、文件上传漏洞的危害文件上传漏洞的危害包括远程代码执行、数据泄露、webshell植入、恶意软件传播、服务器宕机、权限提升等3、文件上传漏洞的原理用户上传恶意文件后,服务器未能对其进行正确检测,从而成功入侵服务器进而控制整个web网站二、常见的绕过攻击方式1、文件名
2024-06-07 10:13:50
708
原创 SQL注入漏洞分析
攻击者通常会在输入字段中插入恶意SQL代码,利用程序在处理用户输入时的漏洞,执行未授权的数据库操作,这样可以获取,修改或删除数据库中的数据。
2024-05-29 11:44:45
248
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人