摘要:
SSRF 即Server-Side Request Forgery 服务器端请求伪造攻击,利用漏洞伪造服务器端发起请求,从而突破客户端获取本身得不到的数据,SSRF攻击的目标是从外网无法访问的内部系统。 SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数,并且未对客户 阅读全文
posted @ 2021-02-14 16:11
丶音尘绝
阅读(142)
评论(1)
推荐(0)
摘要:
0x00 XML基础 可扩展标记语言(英語:Extensible Markup Language,简称:XML)是一种标记语言。 标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种信息的文章等。 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。如图所示: x 阅读全文
posted @ 2021-02-14 15:00
丶音尘绝
阅读(103)
评论(0)
推荐(0)
摘要:
0x00 简介 跨站脚本简称xss(cross-site scripting),利用方式主要是借助网站本身设计不严谨,导致执行用户提交的恶意js脚本,对网站自身造成危害。 0x01 分类 反射型 只是简单地把用户输入的数据”反射”给浏览器,攻击时需要用户配合点击,也叫”非持久型xss”。 存储型 会 阅读全文
posted @ 2021-02-14 14:48
丶音尘绝
阅读(186)
评论(0)
推荐(0)
摘要:
添加评论功能 可用的评论系统大概有: HyperComments:https://www.hypercomments.com (来自俄罗斯的评论系统,使用谷歌账号注册。) 来必力:https://livere.com (来自韩国,使用邮箱注册。) 畅言: http://changyan.kuaizh 阅读全文
posted @ 2021-02-14 14:29
丶音尘绝
阅读(116)
评论(0)
推荐(0)
摘要:
0x00 注入过程 三种注入 where user_id = 1 or 1=1 where user_id = '1' or '1'='1' where user_id =" 1 "or "1"="1" 注释符 # 单行注释,常编码为%23 --空格 单行注释 注意为短线短线空格 /*()*/ 多行 阅读全文
posted @ 2021-02-14 11:46
丶音尘绝
阅读(212)
评论(0)
推荐(0)