摘要:
XXE使用攻略 背景知识:实体分为内部实体,外部实体。/通用实体(使用&定义),参数实体(% 实体名,空格不能少)>。 一:有回显读本地敏感文件 示例代码: xml.php <?php libxml_disable_entity_loader (false); $xmlfile = file_g 阅读全文
posted @ 2020-04-10 10:57
t0wl
阅读(572)
评论(0)
推荐(0)
摘要:
xss跨站脚本攻击与防御 分类 反射型 利用手法:通过特定方式(电子邮件),使用户访问包含恶意代码的url。 特点:只在用户单击时触发,只执行一次。 出没点:搜索栏,登陆入口。 作用:常用于窃取客户端cookies/钓鱼欺骗等 和CSRF有相似之处 利用url 持久型 特征:攻击者将恶意js代码上传 阅读全文
posted @ 2020-04-10 10:55
t0wl
阅读(509)
评论(0)
推荐(0)
摘要:
XML study 定义:html用于显示数据,xml用来传输数据。 xml是标记语言 xml标签没有被预定义,需要自行定义标签 xml被设计为具有自我描述性 xml语法 xml包含一个根元素,是其他元素的父元素 xml 声明,必须放在文档第一行:<?xml version="1.0" encodi 阅读全文
posted @ 2020-04-10 10:53
t0wl
阅读(88)
评论(0)
推荐(0)
摘要:
Sql注入语句 安全复查 要义:不可信源(web表单,cookie,输入参数等) 产生的数据 > 易受感染数据 --> 在渗入点会引发安全问题( 指安全敏感函数 ); 有效复查源代码: 区分危险编码行为 识别安全敏感函数 定位处理输入方法并跟踪数据流执行路径至源头 识别数据库 经验判断: ASP和. 阅读全文
posted @ 2020-04-10 10:50
t0wl
阅读(503)
评论(0)
推荐(0)
浙公网安备 33010602011771号