摘要：参考： https://book.hacktricks.xyz/external-recon-methodology https://book.hacktricks.xyz/pentesting/pentesting-web#web-tech-tricks web 信息收集 https://gith 阅读全文

摘要：php 方面反序列化参考：https://www.cnblogs.com/20175211lyz/p/11403397.html 简介 是什么？ 序列化是指将对象转化为字节流或者字符串，方便存储或运输。序列化后的信息包含：对象的类型、对象属性类型、对象属性对应的值。而反序列化是序列化的逆操作。 不安 阅读全文

摘要：https://www.vulnhub.com/entry/sickos-12,144/ 简介 web 渗透 扫了网站 / 发现 /test 目录，再次尝试扫描。没有发现有用的。 用 nikto，提醒支持的 http 方法，尝试用这几个方法请求这两个目录。 最终发现用 OPTIONS /test/ 阅读全文

摘要：简介 该文主要分析的 web 端漏洞。 主要分为三类，服务端，客户端，针对中间件、协议或其它方面 服务端 让网站程序产生非预期行为 输入过滤： SQL 注入 RCE （代码执行、命令执行） 文件漏洞（上传、下载、包含、读取、删除） 文件上传 文件包含 下载、读取、删除 XXE 反序列化 SSRF 逻 阅读全文