Roderick

摘要： URL跳转漏洞 简介 URL 跳转漏洞也叫作 URL 重定向漏洞，由于服务端未对传入的跳转地址进行检查和控制，从而导致攻击者可以构造任意一个恶意地址，诱导用户跳转至恶意站点。因为是从用户可信站点跳转出去的，用户会比较信任该站点，所以URL跳转漏洞常用于钓鱼攻击，通过转到攻击者精心构造的恶意网站来欺骗 阅读全文

摘要： Java代码审计漏洞-SSRF服务器请求伪造 ssrf基础：https://www.cnblogs.com/-meditation-/p/16227632.html 补充一点：SSRF利用的协议PHP和JAVA的有区别，高版本的JAVA可以用file ftp mailto http https ja 阅读全文

摘要： #SSRF服务器请求伪造 概念 SSRF(服务端请求伪造)：是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。 SSRF形成的原因：服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 攻击方式 1.访问服务器所在内网 阅读全文

摘要： #Java代码审计漏洞-CSRF跨站请求伪造 若要通过代码审计去挖掘 CSRF 漏洞，一般需要首先了解该开源程序的框架。CSRF 漏洞一般会在框架中存在防护方案，所以在审计CSRF漏洞时，首先要熟悉框架对CSRF的防护方案，若没有防护方案，则以该框架编写的所有Web程序都可能存在CSRF漏洞。若有防 阅读全文

摘要： CSRF全称为跨站请求伪造（Cross-site request forgery），也被称为 one-click attack 或者 session riding，它的意思是被攻击者在登录的情况下点击有攻击性的链接或访问含有恶意代码的网页，在被攻击者没意识到的情况下，使用被攻击者的身份对服务器发送一 阅读全文

摘要： XSS-labs通关总结 基础知识 https://www.cnblogs.com/-meditation-/p/16168961.html Level 1 第一关很明显输入test在 <h2>中显示，看过上面链接的文章，就知道这是HTML标签<h2>之间的输出，直接使用<script>alert( 阅读全文

摘要： XSS跨站脚本攻击 简介 XSS全称跨站脚本(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故缩写为XSS。XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击 阅读全文

摘要： Java代码审计漏洞-XSS漏洞 基础知识 https://www.cnblogs.com/-meditation-/p/16168961.html 个人学习笔记，直接看代码，不写奇怪的东西，分析代码写注释。 情况一：反射型XSS //1. /** * Vuln Code. * ReflectXSS 阅读全文

摘要： 【Vulfocus】CVE-2022-22965：Spring core RCE漏洞 漏洞影响范围 1、JDK版本为9及以上 2、使用Spring框架及衍生框架的应用系统，版本低于5.3.18和5.2.20 3、目前公开的漏洞利用仅影响使用Tomcat中间件且开启了Tomcat日志记录的应用系统 漏 阅读全文

摘要： Java代码审计漏洞-SQL注入 基础知识 https://www.cnblogs.com/-meditation-/p/16031461.html https://www.cnblogs.com/-meditation-/p/16031338.html https://www.cnblogs.co 阅读全文