摘要:
XML内容: <?xml version="1.0"?> <!DOCTYPE a [ <!ENTITY % d SYSTEM “file:///etc/passwd”> %d; ]> <c>%d;</c> XML内容 <?xml version=’1.0’?> <!DOCTYPE a [ <!ENT 阅读全文
posted @ 2023-09-18 17:32
TinKode
阅读(78)
评论(0)
推荐(0)
摘要:
水平越权 登录kobe账户,点击查看个人信息,burp抓包 把Kobe换成Lucy 如何查看水平用户,你可以自己注册两个用户,或者注册用户时显示用户已存在,或者查看其他用户发的评论等等 垂直越权 登录管理员账号 添加用户抓包,数据包to repeater 登录普通用户账号 找到普通用户cookie值 阅读全文
posted @ 2023-09-18 16:51
TinKode
阅读(36)
评论(0)
推荐(0)
摘要:
当用户登录后,在服务器就会创建一个会话(session),叫做会话控制,接着访问页面的时候就不用登录,只需要携带Sesion去访问。 Session利用的实质 : 由于SessionID是用户登录之后才持有的唯一认证凭证,因此黑客不需要再攻击登陆过程(比如密码),就可以轻易获取访问权限,无需登录密码 阅读全文
posted @ 2023-09-18 15:08
TinKode
阅读(48)
评论(0)
推荐(0)
摘要:
Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、 File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、 SQL Injection(SQL注入)、SQL 阅读全文
posted @ 2023-09-18 15:04
TinKode
阅读(107)
评论(0)
推荐(0)
摘要:
Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、 File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、 SQL Injection(SQL注入)、SQL 阅读全文
posted @ 2023-09-18 14:40
TinKode
阅读(137)
评论(0)
推荐(0)
浙公网安备 33010602011771号