摘要:
https://www.bilibili.com/video/BV1Ft41187ZX php反序列化原理 php序列化与反序列化基础 序列化与反序列化 序列化:将变量转换为可保存或传输的字符串的过程 反序列化:在适当的时候把这个字符串转化为原来的变量使用 php序列化与反序列化函数 seriali 阅读全文
摘要:
跨域资源共享(CORS)漏洞详解 浏览器同源策略 同协议,同端口同域名 不运行别的网站访问该网站资源 两种跨域方法 JSONP跨域请求 原理 https://www.cnblogs.com/znyu/p/6839617.html jsonp利用script标签具有跨域能力的特点,允许用户通过scri 阅读全文
摘要:
XXE 概述 XXE也叫做XML外部实体注入[XML External Entity] , 当XML允许引用外部实体并解析时,会导致攻击者构造恶意实体的payloadj进行攻注入攻击,导致攻击者可以读取任意文件、执行命令、攻击网站、以及进行SSRF攻击等 ## XML基础 XML声明: < ?xml 阅读全文
摘要:
可能出现的场景 远程图片下载 DZ 3.2 加载远程文件 离线下载 百度网盘 迅雷 远程头像 网页翻译 服务器可以发起请求的地方 常见过滤与绕过 正则过滤指定网址(url必须有bugbank) http用户名绕过: www.bugbank@baidu.com 多级域名:www.bugbank.com 阅读全文
摘要:
自动化生成poc burpsuite CSRF使用方法 POST Burpsuite生成poc-->js代码提交 JSON劫持攻击 CSRF蠕虫 flash CSRF csrf+xss组合拳 CSRF绕过referer 1.Refere为空条件下 - 利用ftp://,http://,https:/ 阅读全文
摘要:
粗略的参考以下内容学习了一下,以后再深究... https://xz.aliyun.com/t/7405 http://wiki.0-sec.org/ ssrf概述 风险函数 file_get_contents()、fsockopen()、curl_exec()、fopen()、readfile() 阅读全文