摘要:XXE漏洞 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可 阅读全文
posted @ 2019-09-17 10:21 r0ckysec 阅读 (77) 评论 (0) 编辑
摘要:变量覆盖注入 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 案例演示 直接上案例可能会 阅读全文
posted @ 2019-09-17 10:05 r0ckysec 阅读 (51) 评论 (0) 编辑
摘要:简介:SSRF 服务器端请求伪造 ,有的大型网站在web应用上提供了从其他服务器获取数据的功能。使用户指定的URL web应用获取图片,下载文件,读取文件内容。通常用于控制web进而探测内网服务以及攻击内网脆弱应用 即当作跳板机,可作为 ssrfsocks 代理 漏洞危害 1. 内外网的端口和服务扫 阅读全文
posted @ 2019-09-17 09:46 r0ckysec 阅读 (73) 评论 (0) 编辑
摘要:漏洞产生原因及原理 跨站请求伪造是指攻击者可以在第三方站点制造HTTP请求并以用户在目标站点的登录态发送到目标站点,而目标站点未校验请求来源使第三方成功伪造请求。 XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。 与XSS区别 ​ XSS是可以获取到用户的coo 阅读全文
posted @ 2019-09-17 08:57 r0ckysec 阅读 (30) 评论 (0) 编辑