摘要:
一、XML概念 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语。XML3 文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。在HTML文档中显示动态数据。 1、DTD(文档类型定义) 作用:定义XML文档的合法 阅读全文
posted @ 2025-12-02 09:21
shinianyunyan
阅读(33)
评论(0)
推荐(0)
摘要:
攻击流程 当用户输入直接嵌入模板而未进行适当的验证或转义时,攻击者可以构建更改模板行为的有效载荷。这可能导致各种意外的服务器端操作,包括: 读取或修改服务器端文件。 执行系统命令。 访问敏感信息(例如,环境变量、数据库凭证)。 漏洞存在验证 使用以下字符串,进行依次拼接观察是否会报错 ${{<%[% 阅读全文
posted @ 2025-12-02 09:21
shinianyunyan
阅读(29)
评论(0)
推荐(0)
摘要:
SQL注入原理与方法全解析 1. 漏洞概述及危害 1.1 漏洞原理 用户可控输入未经过滤直接拼接到SQL语句中,导致恶意代码执行。 1.2 漏洞危害 数据泄露:获取数据库名、表名、字段、敏感信息 权限提升:写入Webshell、远程控制服务器 数据篡改:添加恶意账号、篡改页面内容 服务瘫痪:通过恶意 阅读全文
posted @ 2025-12-02 09:21
shinianyunyan
阅读(142)
评论(0)
推荐(0)
摘要:
ORM通过抽象数据库层,是开发者通过使用对象而不是表和行来进行数据库数据的操作 运行逻辑 插入信息: use App\Models\User; // Create a new user $user = new User(); $user->name = 'Admin'; $user->email = 阅读全文
posted @ 2025-12-02 09:21
shinianyunyan
阅读(27)
评论(0)
推荐(0)
摘要:
CORS (跨域资源共享)配置错误 原理&概念 原理 不安全的 CORS 配置(特别是错误的 ACAO + ACAC 组合)允许恶意网站(attacker.com) 通过受害用户的浏览器发起跨域请求到目标网站(victim.com),并携带用户的认证凭证(如会话 Cookie)。如果目标网站的响应被 阅读全文
posted @ 2025-12-02 09:21
shinianyunyan
阅读(16)
评论(0)
推荐(0)
摘要:
资产收集 抓包问题 没有限制过滤 1、抓不到-工具证书没配置好 2、抓不到-app走的不是http/s,走的其他协议 有限制过滤 3、抓不到-反模拟器调试 4、抓不到-反代理VPN 5、抓不到-反证书检验(单、双向校验) 做移动安全测试时,设置好了代理,但抓不到数据包 反抓包Demo:https:/ 阅读全文
posted @ 2025-12-02 09:20
shinianyunyan
阅读(55)
评论(0)
推荐(0)
摘要:
Fuzz 模糊测试-前置知识&应用 1、什么是 Fuzz 一种基于黑盒的自动化软件模糊测试技术, 简单的说一种懒惰且暴力的技术融合了常见的以及精心构建的数据文本进行网站、软件安全性测试。 2、Fuzz 的核心思想 口令 Fuzz(弱口令)目录 Fuzz(漏洞点)参数 Fuzz(利用参数)Payloa 阅读全文
posted @ 2025-12-02 09:20
shinianyunyan
阅读(71)
评论(0)
推荐(0)
摘要:
数据库安全 目标判断-端口扫描&组合判断&信息来源 前置知识 1、复现环境-Vulfocus/Vulhub 注:Vulfocus(官方在线的无法使用) 相关文档:官方手册,解决搭建、无法同步问题 2、服务判断 端口扫描:利用服务开启后目标端口开放判断 组合判断:利用搭建常见组合分析可能开放服务 信息 阅读全文
posted @ 2025-12-02 09:20
shinianyunyan
阅读(36)
评论(0)
推荐(0)
摘要:
API接口 API探测&常用API 目前最常见的是:GraphQL,REST-WADL(最多); 早期用的较多的是:SOAP_WSDL; 智能家居等设备常用:gRPC API接口分为小众接口和官方接口,官方接口能测到的漏洞很少,能测到漏洞的基本是小众接口 API分类特征 SOAP - WSDL 特征 阅读全文
posted @ 2025-12-02 09:20
shinianyunyan
阅读(30)
评论(0)
推荐(0)
摘要:
前置内容 CL:Content-Length CL的值为请求体长度,设定为多少就解析到多少,超出的内容丢弃,比如: POST /submit HTTP/1.1 Host: good.com Content-Type: application/x-www-form-urlencoded Content 阅读全文
posted @ 2025-12-02 09:19
shinianyunyan
阅读(24)
评论(0)
推荐(0)
浙公网安备 33010602011771号