摘要:
目录遍历来自缺乏对应用程序作为路径一部分的信息的过滤/编码。 与其他漏洞一样,您可以使用“相同值的技术”来测试此类问题。例如,如果应用程序在参数内使用的路径是/images/photo.jpg。您可以尝试访问: /images/./photo.jpg:你应该看到同一个文件。 /images/../p 阅读全文
posted @ 2023-08-02 15:43
珊瑚贝博客
阅读(423)
评论(0)
推荐(0)
摘要:
SQL注入是最常见的(web)漏洞之一。所有SQL注入练习,在这里找到,使用MySQL作为后端。当SQL查询中包含SQL注入时,缺少用户控制输入的编码/转义。 根据信息在查询中的添加方式,您需要不同的东西来破坏语法。 有三种不同的方法可以在SQL语句中回显信息: 使用引号:单引号或双引号。 使用反引 阅读全文
posted @ 2023-08-01 16:27
珊瑚贝博客
阅读(143)
评论(0)
推荐(0)
摘要:
来源:http://www.shanhubei.com/archives/2702.html 跨站点脚本源于信息发送给应用程序用户时缺乏编码。这可以用来注入任意的HTML和JavaScript; 结果是该有效载荷在合法用户的网络浏览器中运行。与其他攻击相反,XSS漏洞针对应用程序的用户,而不是直接针 阅读全文
posted @ 2023-07-31 16:14
珊瑚贝博客
阅读(241)
评论(0)
推荐(0)
摘要:
来源:http://www.shanhubei.com/archives/2700.html HTTP认证 HTTP还提供了对用户进行身份验证的机制。有三种方法可用作协议的一部分: 基本认证:用户名和密码使用base64进行编码,并使用Authorization标头发送:Authorization: 阅读全文
posted @ 2023-07-31 14:38
珊瑚贝博客
阅读(121)
评论(0)
推荐(0)
摘要:
Cookie(和间接sessions)用于保存两个HTTP请求之间的信息。如果浏览器在没有cookie的情况下发送两次相同的请求,则服务器无法看到它是同一个人。你可以认为IP地址是足够的,然而很多人在企业环境和移动网络中共享相同的IP地址(因为他们通过相同的代理)。也可以将信息作为URL的一部分保存 阅读全文
posted @ 2023-07-31 14:30
珊瑚贝博客
阅读(296)
评论(0)
推荐(0)
摘要:
代码与数据 大多数安全问题来自于攻击者能够将代码放在应用程序需要数据的地方。大多数Web安全问题(如XSS或SQL注入)都来自此; 应用程序接收数据,但将此数据用作代码。 URL网址编码 正如我们所看到的,HTTP中使用了一些字符来区分: 每个请求的行:\r\n。 HTTP请求的每个部分(如方法和U 阅读全文
posted @ 2023-07-31 14:26
珊瑚贝博客
阅读(82)
评论(0)
推荐(0)
摘要:
ASCII码对照表(完整版) 十进制代码 十六进制代码 MCS 字符或缩写 DEC 多国字符名 ASCII 控制字符 1 0 0 NUL 空字符 1 1 SOH 标题起始 (Ctrl/A) 2 2 STX 文本起始 (Ctrl/B) 3 3 ETX 文本结束 (Ctrl/C) 4 4 EOT 传输结 阅读全文
posted @ 2023-07-31 14:24
珊瑚贝博客
阅读(7403)
评论(0)
推荐(0)
摘要:
来源:http://www.shanhubei.com/archives/2693.html HTTP协议 HTTP是Web的基础,深入了解此协议以执行Web安全测试非常重要。了解并理解HTTP特性通常会让您发现漏洞并利用它们。 客户端 - 服务器对话框 HTTP是一个客户端和一台服务器之间的对话。 阅读全文
posted @ 2023-07-31 14:16
珊瑚贝博客
阅读(312)
评论(0)
推荐(0)
摘要:
来源:http://www.shanhubei.com/archives/2690.html Web web应用程序可能是互联网上公司和机构暴露的最常见的服务; 此外,大多数旧应用程序现在都有一个“web版”可供浏览器使用。这种巨大的转变使网络安全成为网络安全的重要组成部分。 web的安全模型 we 阅读全文
posted @ 2023-07-31 11:43
珊瑚贝博客
阅读(36)
评论(0)
推荐(0)
摘要:
Xshell使用是出现全黑或全白问题,这是我实际遇到的问题如图。 解决方式: 设置字体 解决成功: 阅读全文
posted @ 2023-07-31 10:57
珊瑚贝博客
阅读(174)
评论(0)
推荐(0)
浙公网安备 33010602011771号