nikiss

摘要： XXE全称"xml external entity injection"，中文"xml外部实体注入漏洞"。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml 阅读全文

摘要： 不安全的url跳转问题可能发生在一切执行了url地址跳转的地方。如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话就可能发生"跳错对象"的问题。url跳转比较直接的危害是:-->钓鱼,既攻击者使用漏洞方的域名(比如一个比较出名的 阅读全文

摘要： 敏感信息泄露 由于后台人员的疏忽或者不当的设计，导致不应该被前端用户看到的数据被轻易的访问到。 比如： 通过访问url下的目录，可以直接列出目录下的文件列表; 输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息; 前端的源码（html,css,js）里面包含了敏感信息， 阅读全文

摘要： 目录遍历漏洞 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量，从而让前端的功能便的更加灵活。 当用户发起一个前端的请求时，便会将请求的这个文件的值(比如文件名称)传递到后台，后台再执行其对应的文件。 在这个过程中，如果后台没有对前端传进来的值进行严格的安全考虑，则攻击者可能会通过“. 阅读全文