摘要:
DOM-based vulnerabilities 材料里没列完,直接做题吧 1 - DOM XSS using web messages 题目描述 这个lab有一个简单的web-message漏洞 要求 利用exploit server给网站发送一个信息,使其执行alert(document.co 阅读全文
摘要:
Portswigger web security academy:Clickjacking (UI redressing) 1 - Basic clickjacking with CSRF token protection 题目描述 登陆后可以删除账号,但是该功能点有csrf token保护 要求 阅读全文
摘要:
Portswigger web security academy:Cross-origin resource sharing (CORS) 1 - CORS vulnerability with basic origin reflection 题目描述 该网站的跨域设置不安全,允许所有跨域请求 要求 阅读全文
摘要:
板块世界 这个世界和现实中的世界不太一样,是经历了剧烈的地质活动(板块运动)后稳定的形态,如果把现实世界比作一副拼好的拼图,那么这个世界就是拼图打乱后层层叠叠的混乱的样子。具体的时间已经记不清了,只记得当时的地质活动摧毁了很多基础设施,国家政府只能暂时通过修建梯子来解决拼图(不同的板块)间的交通问题 阅读全文
摘要:
Portswigger web security academy:XML external entity (XXE) injection 1 - Exploiting XXE using external entities to retrieve files 题目描述 Check stock功能点可 阅读全文
摘要:
Portswigger web security academy:Cross-site request forgery (CSRF) 1 - CSRF vulnerability with no defenses 题目描述 邮箱修改功能点存在CSRF漏洞 要求 通过CSRF修改受害者邮箱 解题过程 阅读全文
摘要:
Portswigger web security academy:OAth authentication vulnerable 学习材料李OAuth的介绍很详细,建议仔细阅读之后再做题 Authentication bypass via OAuth implicit flow 隐式授权的不正确实 阅读全文
摘要:
Portswigger web security academy:Server-side request forgery (SSRF) Basic SSRF against the local server 题目描述 lab中的库存检查功能会从内部系统获取数据 要求访问http://localhos 阅读全文
摘要:
Portswigger web security academy:OS command injection OS command injection, simple case 题目描述 环境中的web应用运行了一个包含产品和店铺id的命令行,并且会返回命令执行结果 要求运行whoami来确认当前用户 阅读全文
摘要:
SSRF_FastCGI FastCGI协议 简介 Fast CGI源自旧版本的CGI 路由/结构图 # 访问url --> 浏览器生成HTTP请求报文 --> web server解析请求(例如nginx) web server 是内容的分发者 当访问静态页面时,web server 会直接返回资 阅读全文