摘要：SSRF（Server-Side Request Forgery, 服务端请求伪造），攻击者伪造服务端发起的请求并执行，从而获得一些数据或进行攻击 一、危害 1.对内网的端口和服务进行扫描，对主机本地的一些敏感信息获取 2.利用一些应用漏洞和一些协议进行攻击 二、常见容易造成漏洞的php函数以及利用 阅读全文

摘要：简单整理下bypass的一些点 标签外 如果是标签之外 又有htmlspecialchars函数的点 就别想了 在标签外同时能xss但是有长度限制 如果是储存型可以利用多个点 然后构造<script>标签 在中间利用/**/注释掉html代码 一点一点的组合payload 除此以外<svg/onlo 阅读全文

摘要：1.拿到一个待检测的站，你觉得应该先做什么？收集信息whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说… 2.mysql的网站注入，5.0以上和5.0以下有什么区别？5.0以下没有information_schema这个系统表，无 阅读全文