摘要：起因 今天正在做一个项目时，需要找一个云接码平台接码去登录系统。当我随手从百度找了一个接码平台时，一个偶然的发现，有了今天这篇文章。 正文 当我进入这个接码平台随便找了个手机号，然后等了好几分钟都没啥反应。然后就顺便观察起了这个网站，然后我就有了发现。 手机号由GET传参，同时会显示在页面上，那么这 阅读全文

摘要：#前言 根据红日安全写的文章，学习PHP代码审计审计的第二节内容，题目均来自PHP SECURITY CALENDAR 2017，讲完这个题目，会有一道CTF题目来进行巩固，外加一个实例来深入分析，想了解上一篇的内容，可以点击这里：PHP代码审计01之in_array()函数缺陷 下面我们开始分析。 阅读全文

摘要：#前言 XSS又叫跨站脚本攻击，是一种对网站应用程序的安全漏洞攻击技术。它允许恶意用户将代码注入网页，其他用户在浏览网页时就会受到影响。XSS分为三种：反射型，存储型，和DOM型。下面我会构造有缺陷的代码，从代码分析这三种类型。 如果想要了解XSS基础的可以看我的这篇文章：XSS(跨站脚本攻击)简单 阅读全文

摘要：前言 上一篇文章中介绍了XSS(跨站脚本攻击)简单原理与几种类型。接下来通过实例用几行代码实现cookie的盗取。 正文 这里测试用的工具是DVWA(可以本地搭建，前面文章有介绍），和phpstudy。首先登陆DVWA，选择low模式，点击submit按钮。如下图 然后咱们点击XSS(Reflect 阅读全文

摘要：1.1 XSS简介 跨站脚本攻击（XSS），是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码(一般是JS代码)到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。它常常与其他漏洞一起造成破坏性的后果。 1.2 XSS的 阅读全文