摘要:
相关知识 业务逻辑漏洞的原理 逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞。 在实际开发中,因为开发者水平不一没有安全意识,而且业务发展迅速内部测试没有及时到位,所以常常会出现类似的漏洞。 此漏洞常出现在:交易界面、用户账户、验证码、越权等 业务逻辑的危害 访问权限绕过 敏感数据访 阅读全文
摘要:
快速了解 XXE 什么是 XXE 漏洞 参考文章 XXE 漏洞概述 XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。 在某些情况下, 阅读全文
摘要:
#知识储备 ##文件上传漏洞的原理 知其然,知其所以然 简单的说,文件上传漏洞发生在具有文件上传功能的模块,文件上传后总是会被保存在服务器的某个地方,当文件上传操作与保存操作处理不当时,文件上传漏洞就由此产生。 例如,上传的文件可以是一个可执行文件,该文件通过各种手段被上传后再想办法执行,攻击者则会 阅读全文