会员
众包
新闻
博问
闪存
云市场
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
SuperTaco
博客园
|
首页
|
新随笔
|
新文章
|
联系
|
订阅
|
管理
2020年4月21日
Apache、Nginx、IIs日志记录的各个字段内容与含义
摘要: 一、Apache 1.文件名称及路径 当我们安装并启动Apache后,Apache会自动生成两个日志文件,这两个日志文件分别是: 访问日志access.log(在Linux中为access_log) 错误日志error.log(在Linux中为error_log) Windows中的日志文件,保存在
阅读全文
posted @ 2020-04-21 15:44 SuperTaco
阅读(507)
评论(0)
推荐(0)
编辑
2020年4月3日
Pikachu:目录遍历、敏感信息泄漏及URL重定向
摘要: 目录遍历: 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活。 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。 在这个过程中,如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“..
阅读全文
posted @ 2020-04-03 20:55 SuperTaco
阅读(292)
评论(0)
推荐(0)
编辑
Pikachu:PHP反序列化、XXE、SSRF
摘要: PHP反序列化 简介: 在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。 序列化函数serialize(): 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu";
阅读全文
posted @ 2020-04-03 20:14 SuperTaco
阅读(463)
评论(0)
推荐(0)
编辑
2020年4月2日
Pikachu:Over Permission(越权漏洞)
摘要: 概述: 由于没有对用户权限进行严格的判断,导致低权限的账号(比如普通用户)可以去完成高权限账号(比如超级管理员)范围内的操作。常见的越权漏洞有水平越权和垂直越权两种。 平行越权: A用户和B用户属于同一级别用户,但各自不能操作对方个人信息,A用户如果越权操作B用户的个人信息的情况称为平行越权操作。
阅读全文
posted @ 2020-04-02 10:21 SuperTaco
阅读(317)
评论(0)
推荐(0)
编辑
2020年4月1日
Pikachu:Unsafe Fileupload(不安全的文件上传)
摘要: 概述: 因为业务功能需要,很多 Web 站点都有文件上传的接口,比如: 注册时上传头像图片(比如jpg,png,gif等) 上传文件附件(doc,xls等) 文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是
阅读全文
posted @ 2020-04-01 19:07 SuperTaco
阅读(579)
评论(0)
推荐(0)
编辑
Pikachu:Unsafe file download(不安全的文件下载)
摘要: 概述: Unsafe file download,意为“不安全的文件下载”,文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完
阅读全文
posted @ 2020-04-01 11:21 SuperTaco
阅读(482)
评论(0)
推荐(0)
编辑
2020年3月31日
Pikachu:File Inclusion(文件包含漏洞)
摘要: 概述: File Inclusion,就是文件包含漏洞,在前面的DVWA中已经做过相关的实验。 文件包含: 开发人员将相同的函数写入单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程称文件包含。 文件包含漏洞 开发人员为了使代码更灵活,会将被包含的文件设置为变量,用来进
阅读全文
posted @ 2020-03-31 17:34 SuperTaco
阅读(500)
评论(0)
推荐(0)
编辑
Pikachu:RCE(Remote command/code execute)
摘要: 概述: RCE(Remote command/code execute)漏洞,意为“远程命令/代码执行”,分为远程命令执行ping和远程代码执行evel。可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程命令执行,漏洞出现的原因,是没有在输入口做输入处理,应用系统从设
阅读全文
posted @ 2020-03-31 15:27 SuperTaco
阅读(229)
评论(0)
推荐(0)
编辑
2020年3月30日
Pikachu:SQL Inject(SQL注入)
摘要: 简介 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。 一个严重的SQL注入漏洞,可能会直接导致一家公司破产! SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到S
阅读全文
posted @ 2020-03-30 16:20 SuperTaco
阅读(535)
评论(0)
推荐(0)
编辑
2020年3月25日
Pikachu:CSRF(跨站请求伪造)
摘要: CSRF(跨站请求伪造)概述 Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 很多人
阅读全文
posted @ 2020-03-25 20:35 SuperTaco
阅读(266)
评论(0)
推荐(0)
编辑
下一页
公告