学无止境,不进则退
  文章分类
语言 6 渗透测试基础 6 信息搜集 4 穷举篇 3 绕过 2 漏洞 8 博客编写 2 数据库 1 靶场 9 工具 5 渗透测试 1 提权 2 权限维持 1 内网 3 项目 2 绕过 4 计算机网络 11
web常见漏洞描述及修复建议 web常见漏洞描述及修复建议
web常见漏洞描述及修复建议1.SQL注入  漏洞描述   Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入w
2024-01-10 漏洞
web漏洞总结
csrfssrf csrfssrf
csrf&ssrf csrf跨站请求伪造,伪装成受信任用户的来利用受信任的网站 检测:抓包,修改referfer字段重新提交,如果正常可能存在此漏洞 危害盗用受害者的身份,做受害者能做的事 原理在用户浏览器网站的cookie没有过
2022-01-02 漏洞 绕过
csrf ssrf
常见的中间件 常见的中间件
中间件漏洞 概述中间件(英语:Middleware)是提供系统软件和应用软件之间连接的软件,以便于软件各部件之间的沟通。 中间件处在操作系统和更高一级应用程序之间。他充当的功能是:将应用程序运行环境与操作系统隔离,从而实现应用程序开发者
2021-12-09 漏洞
中间件
命令执行 命令执行
命令执行漏洞 描述程序员使用脚本语言(比如 PHP)开发应用程序过程中,脚本语言开发十分快速、简洁,方便,但是也伴随着一些问题。比如说速度慢,或者无法接触系统底层。 如果我们开发的应用,特别是企业级的一些应用需要去调用一些外部程序。当应用
2021-10-27 漏洞
命令执行漏洞
文件包含 文件包含
文件包含漏洞 描述程序在引用文件的时,引用的文件名,用户可控的情况,传入的文件名没有经过合理的校验或校验不严,从而操作了预想之外的文件,就有可能导致文件泄漏和恶意的代码注入。 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个
2021-10-20 漏洞 绕过
文件包含漏洞
xss xss
xss漏洞 简单认识XSS就是通过 HTML注入篡改网页,插入恶意脚本,从而在用户浏览网页时控制用户浏览器 如果是MVC框架,主要发生在view层中 描述XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style S
2021-09-22 漏洞 绕过
xss
文件上传 文件上传
文件上传漏洞 简单认识文件上传就是上传脚本到服务器解析执行,获取网站控制权 描述文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。 如常见的头像上传,图片上传,o
2021-09-19 漏洞 绕过
文件上传
sql注入 sql注入
web安全漏洞与利用由于之前已经通关sqli-labs,所以这次写sql注入重点写思路、原理、概念,或者说是靶场所覆盖不了的细节方面。 sql注入漏洞描述  Web 程序代码中对用户提交的参数未做过滤就直接放到 SQL 语句中执行,导
2021-08-05 漏洞
sql注入