上一页 1 2 3 4 5 6 ··· 18 下一页
摘要:SSRF学习 SSRF的定义(维基) 服务器端请求伪造(Server-side Request Forgery,SSRF)是攻击者滥用服务器功能访问或操作自己无法被直接访问的信息的方式之一。服务器端请求伪造攻击将域中的不安全服务器作为代理使用,这与利用网页客户端的跨站请求伪造攻击类似(如处在域中的浏 阅读全文
posted @ 2020-08-10 01:59 Mirror王宇阳 阅读(138) 评论(0) 推荐(0) 编辑
摘要:Web安全攻防-学习笔记 本文属于一种总结性的学习笔记,内容许多都早先发布独立的文章,可以通过分类标签进行查看 信息收集 信息收集是渗透测试全过程的第一步,针对渗透目标进行最大程度的信息收集,遵随“知己知彼,百战不殆”的原则,先了解目标在利用目标。 收集域名信息 收集域名信息的种类包括:子域名收集、 阅读全文
posted @ 2020-08-10 01:48 Mirror王宇阳 阅读(116) 评论(0) 推荐(0) 编辑
摘要:Url跳转漏洞常见出现点: 1.用户登录、统一身份认证处,认证完后会跳转。 2.用户分享、收藏内容过后,会跳转。 3.跨站点认证、授权后,会跳转。 4.站内点击其它网址链接时,会跳转。 Url跳转漏洞的危害: 1.常被用黑产利用进行钓鱼、诈骗等目的。 在登录页面进行登录后如果自己带着当前网站的COO 阅读全文
posted @ 2020-07-18 19:05 Mirror王宇阳 阅读(264) 评论(0) 推荐(0) 编辑
摘要:任意用户密码重置的姿势 0x01:验证码不失效 验证码的有效时间没有合理的进行限制,导致一个验证码可以被枚举猜解;举例:我们重置密码需要邮件或短信接受验证码,而这个验证码没有时间限制,可以无限制的重复使用,由此带来了安全问题,攻击者通过验证码枚举获得。 0x02:验证码明文返回 系统会直接在数据包中 阅读全文
posted @ 2020-07-18 18:59 Mirror王宇阳 阅读(147) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2020-06-11 15:50 Mirror王宇阳 阅读(76) 评论(0) 推荐(0) 编辑
摘要:Bootstrap4-思维导图-知识点总结 By:Mirror王宇阳 time:2020/4/30 有错误之处 烦请见谅! 阅读全文
posted @ 2020-04-30 13:24 Mirror王宇阳 阅读(270) 评论(0) 推荐(0) 编辑
摘要:验证器 By:Mirror王宇阳 验证器定义 验证器的使用,必须定义它;系统提供了一条命令直接生产一个验证器类: 自动再应用目录下生成一个 文件夹,并生成 类 自动生成的两个属性: :定义规则 :定义错误信息 ,如果不定义错误信息提示默认的错误信息 验证器定义之后,进行调用测试,创建一个 控制器: 阅读全文
posted @ 2020-04-21 15:53 Mirror王宇阳 阅读(924) 评论(1) 推荐(0) 编辑
摘要:ThinkPHP模型 模型定义 在 目录下创建 目录,即可创建模型文件 定义一个和数据库表相匹配的模型 会自动匹配对于数据库中的数据表 模型命名后缀,是为了防止关键字冲突,可以开启应用类后缀:创建 模型类的定义需要去除表前缀,采用驼峰式命名首字母大写 创建于数据表相匹配的模型类后,可以在使用 方法来 阅读全文
posted @ 2020-04-11 19:25 Mirror王宇阳 阅读(555) 评论(0) 推荐(0) 编辑
摘要:Hacker101 CTF | Postbook mirror王宇阳 水平有限,不足之处还望指教 ^_^ 看看这个一大堆英文介绍 提取关键字: 写文章、发文章、公开帖子、私密帖子 直观访问页面,首先注册一个test账户 越权访问/枚举参数(访问) 观察url 发现可存在包含,测试后发现没有 浏览现有 阅读全文
posted @ 2020-03-21 00:29 Mirror王宇阳 阅读(392) 评论(0) 推荐(0) 编辑
摘要:Upload-labs By:Mirror王宇阳 2019年11月~ 文件上传解析学习 环境要求 若要自己亲自搭建环境,请按照以下配置环境,方可正常运行每个Pass。 配置 项 配置 描述 操作系统 Window or Linux 推荐使用Windows,除了Pass-19必须在linux下,其余P 阅读全文
posted @ 2020-03-16 22:47 Mirror王宇阳 阅读(679) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5 6 ··· 18 下一页