• 博客园logo
  • 会员
  • 众包
  • 新闻
  • 博问
  • 闪存
  • 赞助商
  • HarmonyOS
  • Chat2DB
    • 搜索
      所有博客
    • 搜索
      当前博客
  • 写随笔 我的博客 短消息 简洁模式
    用户头像
    我的博客 我的园子 账号设置 会员中心 简洁模式 ... 退出登录
    注册 登录

loay

  • 博客园
  • 联系
  • 订阅
  • 管理

2023年2月27日

信息收集-在线站点

摘要: 利用证书透明度收集子域名 什么是证书透明度? 在某些情况下,人为错误或假冒行为可能会导致误发证书。证书透明度 (CT) 改变了 签发流程,新流程规定:证书必须记录到可公开验证、不可篡改且只能附加内容的日 志中,用户的网络浏览器才会将其视为有效。通过要求将证书记录到这些公开的 CT 日志中,任何感兴趣 阅读全文

posted @ 2023-02-27 18:05 loay 阅读(193) 评论(0) 推荐(0)

CSRF漏洞

摘要: CSRF漏洞 简介 跨站请求伪造 (也称为 CSRF)是一种 Web 安全漏洞,允许攻击者诱导用户执行他们不打算执行的操 作。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。 其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用 阅读全文

posted @ 2023-02-27 12:29 loay 阅读(244) 评论(0) 推荐(0)

XSS漏洞攻防

摘要: XSS漏洞攻防 XSS基本概念 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码,当用户浏览该页 面时,嵌入 阅读全文

posted @ 2023-02-27 12:28 loay 阅读(337) 评论(0) 推荐(0)

SSRF && XXE && 远程代码执行 && 反序列 化漏洞

摘要: SSRF && XXE && 远程代码执行 && 反序列 化漏洞 SSRF原理及漏洞演示 漏洞简介 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的 一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 阅读全文

posted @ 2023-02-27 12:28 loay 阅读(368) 评论(0) 推荐(0)

文件上传及验证绕过

摘要: 文件上传及验证绕过 文件上传常见点 上传头像 上传相册 上传附件 添加文章图片 前台留言资料上传 编辑器文件上传 ...... 客户端—JS绕过 docker pull cuer/upload-labs docker run -d -p 8082:80 cuer/upload-labs 43.136 阅读全文

posted @ 2023-02-27 12:27 loay 阅读(566) 评论(0) 推荐(0)

文件包含

摘要: 文件包含漏洞 概述 分类 本地文件包含 只能包含本地服务器上存在的文件。 ​ 用户对输入可控且无过滤 ​ 可以利用相对路径或绝对路径读取系统敏感文件 远程文件包含 包含远程服务器上的文件。 需要php.ini开启了allow_url_fopen和allow_url_include的配置。包含的文件是 阅读全文

posted @ 2023-02-27 12:27 loay 阅读(155) 评论(0) 推荐(0)

 
博客园  ©  2004-2025
浙公网安备 33010602011771号 浙ICP备2021040463号-3