IP属地:浙江
-
掌控安全学习-本地包含与远程包含漏洞
知识梳理 1. 文件包含漏洞 文件包含本身不是漏洞,但是对于包含进来的文件制不严格,就导致了文件包含漏洞的产生,最终造成攻击者进行任意文件包含。...
-
掌控安全学习-反序列化漏洞
知识梳理 1. php序列化 php为了方便进行数据的传输,允许把复杂的数据结构,压缩到一个字符串中。使用serialize()函数。类似于游戏...
-
掌控安全学习-覆盖变量
知识梳理 1. 变量覆盖漏洞 变量覆盖指的是用的传参值替换程序原有的变量值一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。变量覆盖漏洞大...
-
掌控安全学习-XXE实体注入
知识梳理 1. 什么XXE? XXE = XML External Entity 即外部实体,从安全角度理解成XML External Enti...
-
掌控安全学习-SSRF
知识梳理 1. SSRF(Server-Side Request Forgery:服务请求伪造) 2. SSRF的危害 (1)、可以对外网、服务...
-
掌控安全-在线支付漏洞
知识梳理 1. 修改支付状态 比如:购买A商品,支付时,bp抓包,观察包中是否有字段a来表明A商品是否被支付,a=1时,代表支付成功,a=2时,...
-
掌控安全-越权漏洞
知识梳理 1. 越权漏洞的概念 越权漏洞是一种很常见的逻辑安全漏洞。是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定...
-
掌控安全学习-验证码绕过、密码找回
靶场地址 http://59.63.200.79:8020/ 简单的做一个目录扫描 发现后台登陆界面 尝试登陆抓包,,重放数据包发现验证码未失效...
-
掌控安全学习-解析、截断、验证、伪造上传文件上传步骤 上传到缓存目录=》通过php代码指导,移动到存放文件的地方+重命名 前端验证 前端代码是在浏览器上运行的,通过burp进行数据包修...