shy_dow

摘要： Excel中的XXE攻击 ##一、准备阶段 所需环境 idea 原理：xslx文件是由xml文件组成的，可以改成.zip的文件后缀名进行解压，所以如果如果没有禁用外部实体，会存在XXE漏洞。poi这个依赖可以解析excel首先是解析xml，所以导致。 打开idea，创建一个maven环境 利用ser 阅读全文

摘要： xss跨站脚本攻击 1、介绍 XSS攻击，其实就是黑客将恶意的脚本，注入到浏览的网页中从而改变网页的dom结构，当受害者访问这些页面时，浏览器会解析并执行这些恶意代码，从而达到窃取用户身份/钓鱼/传播恶意代码等行为。 **类型：**反射性，存储型，dom型 **场景：**搜索框，留言板 环境：win 阅读全文

摘要： ##任意文件读取与下载漏洞 **环境：**windows-s-2008、phpstudy2016、攻击机 成因： web开放了文件读取及下载的功能（存在读取文件/下载的函数），并且用户端可控制路径，对于用户端输入的路径没有做到完全的过滤。 危害： 1、查看敏感文件； 2、下载源代码做代码审计，查找更 阅读全文