摘要：Apache日志详解： Apache日志文件名称及路径介绍 当我们安装并启动Apache后，Apache会自动生成两个日志文件，这两个日志文件分别是访问日志access_log（在windows上是access.log）和错误日志error_log（在Windows上是error.log）。日志文件 阅读全文

摘要：RCE概述： exec"ping"：（远程命令执行） 1.根据提示输入一个ip，输入127.0.0.1。返回的是正常的结果 2.如果这时后端没有做严格的过滤。输入 127.0.0.1&dir，这句的意思就是说当它执行完127.0.0.1之后执行当然dir。发现把dir的结果也全部展示出来了。也就是说 阅读全文

摘要：SQL Inject漏洞概述： 数据库注入漏洞，主要是开发人员在构建代码时，没有对输入边界进行安全考虑，导致攻击者可以通过合法的输入点提交一些精心构造的语句，从而欺骗后台数据库对其进行执行，导致数据库信息泄露的一种漏洞。 SQL Inject漏洞攻击流程： SQL Inject漏洞-常见注入点测试： 阅读全文

摘要：CSRF漏洞概述： 在CSRF的攻击场景中攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击也就完成了，所以CSRF攻击也被称为"one click"攻击。 我们判断一个网站是否存在CSRF漏洞，其实就是判断其对关键信息（比如密码等敏感信息）的 阅读全文

摘要：反射型xss（get）： 1.首先确认页面上是否存在xss漏洞。输入一些特殊的字符，'"<>6666,点击提交，看是否会被过滤掉。返回的结果如下。 2.查看页面源码，在源码页面查找我们刚输入的字符'"<>6666，发现输入的字符，被输出在了p标签里，这可能说明如果我们输入一些js的代码，也会被原封不 阅读全文