摘要：文件上传漏洞全面渗透姿势总结 0x00 文件上传场景 (本文档只做技术交流，切勿进行违法犯罪操作，请做一个好人，不给别人添麻烦) 文件上传的场景真的随处可见，不加防范小心，容易造成漏洞，造成信息泄露，甚至更为严重的灾难。 比如某博客网站评论编辑模块，右上角就有支持上传图片的功能，提交带有恶意字符串的 阅读全文

摘要：绝大多数互联网用户使用联网的工具是浏览器，随着浏览器版本的不断更新，浏览器的安全功能也变得越来越重要，总结了一下主要的浏览器安全功能。 一.同源策略 同源策略是一种约定，它是浏览器最核心的也是最基本的安全功能，很多时候浏览器的实现的同源策略是隐形的，透明的，浏览器的同源策略，限制了来之不同源的“do 阅读全文

摘要：正确的防御SQL注入 sql注入的防御不是简单只做一些用户输入的escape处理，这样是不够的，只是提高了攻击者的门槛而已，还是不够安全。 例如 mysql_real_escape_string()函数会对输入的参数进行转义。 当攻击者构造的注入代码如下时： 将会绕过这个函数注入成功，其原因在于这个 阅读全文

摘要：注入攻击是web安全领域中一种最为常见的攻击方式。注入攻击的本质，就是把用户输入的数据当做代码执行。这里有两个关键条件，第一是用户能够控制输入，第二个就是原本程序要执行的代码，将用户输入的数据进行了拼接，所以防御的思想就是基于上述两个条件。 SQL注入第一次为公众所知，是在1998年的著名黑客杂志< 阅读全文