摘要:
WEB安全总结之一图读懂Xss 原理 Xss攻击通常是指攻击者利用在网页开发时程序员设计不严谨产生的漏洞,通过设计巧妙的的方法将代码注入到网页(或服务器)中,使用户在浏览相关网页时加载并执行恶意代码。以达到自己恶意的目的,通常会获得目标更高的权限,会话和cookie等内容。通常这些网页程序会使用Ja 阅读全文
摘要:
端口通讯协议常见漏洞 1、web服务类: tomcat--80/8080/8009 manager弱口令 put上传webshell HTTP慢速攻击 ajr文件包含漏洞-CVE-2020-1938 Jboss--8080 后台弱口令 console后台部署war包 JAVA反序列化 远程代码执行 阅读全文
摘要:
什么是SSRF SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。 阅读全文
摘要:
WEB安全总结之读懂文件上传 文件上传漏洞是web安全中经常用到的一种漏洞形式。是对数据与代码分离原则的一种攻击。上传漏洞顾名思义,就是攻击者上传了一个可执行文件如木马,病毒,恶意脚本,WebShell等到服务器执行,并最终获得网站控制权限的高危漏洞。 大部分的网站和应用系统都有上传功能,而程序员在 阅读全文
摘要:
XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体 阅读全文
摘要:
文件包含漏洞原理 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这中文件调用的过程一般被称为文件包含。在实际WEB应用中,当页眉需要更新时,只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中 阅读全文
摘要:
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 阅读全文
该文被密码保护。 阅读全文
摘要:
原理 Xss攻击通常是指攻击者利用在网页开发时程序员设计不严谨产生的漏洞,通过设计巧妙的的方法将代码注入到网页(或服务器)中,使用户在浏览相关网页时加载并执行恶意代码。以达到自己恶意的目的,通常会获得目标更高的权限,会话和cookie等内容。通常这些网页程序会使用Javascript,Java、vb 阅读全文