11 2020 档案
摘要:* 介绍 ssrf(Server-Side Request Forgery:服务器端请求伪造): 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) * 成因
阅读全文
摘要:#Arbitrary File Access (Samba)任意文件获取 使用msf进行攻击 1、利用auxiliary/admin/smb/samba_symlink_traversal 2、smbclient -L 10.10.110.163(靶机ip)寻找bWAPP靶机上有哪些文件是共享的例如
阅读全文
摘要:#Session Mgmt. - Cookies (HTTPOnly) low: Cookies中httponly字段设置为false 点击 Click Here ,本地JS脚本可以直接访问到top_security这个变量值 Medium: Cookies中httponly字段设置为true 点击
阅读全文
摘要:#Server-Side Includes (SSI) Injection SSI是英文Server Side Includes的缩写,翻译成中文就是服务器端包含的意思。从技术角度上说,SSI就是在HTML文件中,可以通过注释行调用的命令或指针。SSI具有强大的功能,只要使用一条简单的SSI 命令就
阅读全文
摘要:#Mail Header Injection(SMTP) 电子邮件标题注入 通常的做法是网站实施联系表单,反过来将合法用户的电子邮件发送给消息的预期收件人。大多数情况下,这样的联系表单将设置SMTP标头From,Reply-to以便让收件人轻松处理联系表单中的通信,就像其他电子邮件一样。 不幸的是,
阅读全文
摘要:#html injection-reflected(GET) ##初级 function htmli($data) { switch($_COOKIE["security_level"]) { case "0" : $data = no_check($data); break; case "1" :
阅读全文
摘要:#XML基础 ##XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 <?xml version="1.0"?> //xml声明 <!DO
阅读全文
摘要:##php.ini简介 此文件必须命名为'php.ini'并放置在http.conf中的PHPIniDir指令指定的目录中,使用phpinfo()函数可以查看,如果未作修改,windows平台一般放在php安装目录中 php.ini.httpd.conf文件配置 1、safe_mode=off相关配
阅读全文
摘要:一. Spring Boot入门 1、 Spring Boot简介 简化Spring应用开发的一个框架 整个Spring技术栈的一个大整合 J2EE开发的一站式解决方案 Spring Boot用来简化Spring应用开发,约定大于配置 Spring全家桶时代 Spring Boot -->
阅读全文
浙公网安备 33010602011771号