常见漏洞
文章平均质量分 84
世间繁华梦一出
三十功名尘与土,八千里路云和月!
展开
-
python安全之SSTI模板注入
python安全——SSTI模板注入SSTI模板注入原理解释SSTI模板注入原理解释参考链接 https://xz.aliyun.com/t/7746SSTI模板注入检测及攻击工具:tplmap原创 2021-08-11 18:45:28 · 409 阅读 · 0 评论 -
incaformat蠕虫病毒样本分析及查杀防范措施
2021incaseformat蠕虫病毒一、病毒简介二、样本分析三、查杀与恢复方式四、预防措施一、病毒简介病毒名称:incaseformat病毒性质:蠕虫病毒影响范围:windows 操作系统危害等级:紧急病毒影响:删除除系统盘外的所有文件二、样本分析1.样本信息md5:4b982fe1558576b420589faa9d55e81asha1:a858c92a664491d1195370c20f2e4fa6b6ae5c3csha256:ff84e79cae99f5714f363588b原创 2021-01-14 10:42:05 · 3590 阅读 · 8 评论 -
浅谈LDAP注入的攻击与防御
LDAPLDAP简介LDAP注入攻击web应用中的LDAP注入AND注入OR注入盲注入LDAP注入的防御LDAP简介1、定义:LDAP是一个轻量级目录访问协议,是一种在线目录访问协议,主要用于目录中资源的搜索和查询。2、特性:LDAP不定义客户端和服务端的工作方式,但会定义客户端和服务端的通信方式。此外,LDAP还会定义LDAP数据库的访问权限及服务端数据的格式和属性。部署了LDAP的应用不会直接访问目录中的内容,一般通过函数调用或者API,应用可以通过定义的C、JAVA的API进行访问。Java应原创 2021-05-29 16:23:41 · 2988 阅读 · 0 评论 -
路径遍历(目录遍历)
一、简介路径遍历攻击也成为目录遍历,旨在,访问存储在web根文件夹之外的文件和目录。通过操纵带有“点-斜线(…)”序列及其变化的文件或使用绝对路径来引用文件的变量,来访问存储在文件系统上的任意文件和目录,包括应用程序源代码...转载 2021-04-21 17:48:11 · 3559 阅读 · 0 评论 -
SSRF漏洞介绍、利用以及防御
SSRF简介SSRF漏洞形成原因SSRF漏洞的寻找SSRF漏洞的利用方式执行指令curl命令简介SSRF(Server-Side Request Forgery,服务器端请求伪造):是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服 务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。SSRF漏洞形成原因SSRF漏洞形成的原因大多都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址 做过滤与限原创 2021-01-30 20:05:34 · 953 阅读 · 0 评论 -
XXE漏洞利用技巧:从XML到远程代码执行
常见漏洞之XXE你的Web应用存在XXE漏洞吗?什么是XXE基本利用Blind OOB XXE场景1 - 端口扫描场景2 - 通过DTD窃取文件场景3 - 远程代码执行场景4 - 钓鱼实用工具缓解措施参考XXE Cheatsheet你的Web应用存在XXE漏洞吗?如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它。什么是XXE简单来说,XXE就是XML外部实体转载 2021-01-23 11:52:00 · 400 阅读 · 0 评论 -
代码审计|变量覆盖漏洞
变量覆盖漏洞漏洞简介$$导致的变量覆盖问题CTF中$$导致的变量覆盖问题的例题1:漏洞简介通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有: $$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。本篇收集了几个CTF中的题目作为例子,对$$,extract(),parse_str()的问题进行总结。$$导致的变量覆盖问题$$导致的变量覆盖问题在C原创 2021-01-11 21:42:00 · 256 阅读 · 0 评论 -
xss-labs通关大合集(更新中)
xss-labsLevel1Level1原创 2020-12-07 17:58:24 · 500 阅读 · 0 评论 -
数据库上传一句话木马的三种姿势
上传一句话木马的基础知识原创 2020-11-08 16:45:42 · 811 阅读 · 0 评论 -
sql注入之sqli-labs大合集
Less-1至Less-4原创 2020-10-30 08:32:19 · 206 阅读 · 0 评论 -
XSS介绍及利用
XSS——跨站脚本攻击XSS介绍及利用XSS介绍及利用1、XSS介绍XSS(cross site scripting)跨站脚本攻击,恶意攻击者往web页面里插入恶意script代码,当用户浏览该页面时,代码就会被执行2、XSS原理在HTML中常用到字符实体,对常用到的字符实体没有进行转译,导致完整的标签出现,在可输入的文本框等某些区域内输入特定的某些标签导致代码被恶意篡改。3、实现过程(1)攻击者将恶意代码插入到服务器(2)其他用户无防备的情况下访问服务器(3)服务器对含有恶意代码的网页原创 2020-11-27 20:00:46 · 3417 阅读 · 0 评论