摘要:
一、 前置了解知识 1. 什么是业务逻辑漏洞? 业务逻辑漏洞是应用程序设计和实现中的缺陷,允许攻击者引发意外行为。这可能使攻击者能够操纵合法功能来实现恶意目标。这些缺陷通常是由于未能预测可能发生的异常应用程序状态,因此无法安全地处理它们。 在此上下文中,术语“业务逻辑”仅指定义应用程序如何运 阅读全文
posted @ 2024-11-06 19:29
whitehe
阅读(95)
评论(0)
推荐(0)
摘要:
比赛条件 争用条件是一种常见的漏洞类型,与业务逻辑缺陷密切相关。当网站在没有足够保护措施的情况下同时处理请求时,就会发生这种情况。这可能导致多个不同的线程同时与相同的数据进行交互,从而导致“冲突”,从而导致应用程序中出现意外行为。争用条件攻击使用精心定时的请求来造成故意冲突,并利用这种意外行为来达到 阅读全文
posted @ 2024-11-06 19:24
whitehe
阅读(77)
评论(0)
推荐(0)
摘要:
什么是 SSRF? 服务器端请求伪造是一种 Web 安全漏洞,允许攻击者使服务器端应用程序向意外位置发出请求。 在典型的 SSRF 攻击中,攻击者可能会使服务器连接到组织基础结构中的仅限内部的服务。在其他情况下,它们可能能够强制服务器连接到任意外部系统。这可能会泄露敏感数据,例如授权凭据。 SSRF 阅读全文
posted @ 2024-11-06 19:21
whitehe
阅读(407)
评论(0)
推荐(0)
摘要:
服务器端漏洞 路径遍历 在linux系统中…/…/…/…/…/返回目录 即…/代表返回上一级目录 存取控制 有的web网站中,对于网页目录可能没有太多限制 如,www.baidu.com/admin ,可能存在后台系统 如,www.baidu.com/robots.txt ,robots.txt是因 阅读全文
posted @ 2024-11-06 19:16
whitehe
阅读(32)
评论(0)
推荐(0)
摘要:
一、 前置知识了解 什么是访问控制? 访问控制是对有权执行操作或访问资源的人员或内容施加约束。在 Web 应用程序的上下文中,访问控制依赖于身份验证和会话管理: 身份验证确认用户是他们所说的人。 会话管理可识别同一用户正在发出哪些后续 HTTP 请求。 访问控制确定是否允许用户执行他们尝试执行的操作 阅读全文
posted @ 2024-11-06 19:15
whitehe
阅读(123)
评论(0)
推荐(0)
摘要:
一、定义 1. 什么是 XML 外部实体注入? XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。 在某些情况下,攻击者可以通过利用 阅读全文
posted @ 2024-11-06 19:12
whitehe
阅读(63)
评论(0)
推荐(0)
摘要:
<link rel="stylesheet" href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/markdown_views-f23dff6052.css"> <link rel="stylesheet" hre 阅读全文
posted @ 2024-11-06 18:58
whitehe
阅读(141)
评论(0)
推荐(0)
摘要:
<link rel="stylesheet" href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/markdown_views-f23dff6052.css"> <link rel="stylesheet" hre 阅读全文
posted @ 2024-11-06 18:49
whitehe
阅读(25)
评论(0)
推荐(0)
摘要:
SQL注入专题 大多数 SQL 注入漏洞都发生在查询的子句中。大多数有经验的测试人员都熟悉这种类型的 SQL 注入。WHERE``SELECT 但是,SQL 注入漏洞可能发生在查询中的任何位置以及不同的查询类型中。出现 SQL 注入的其他一些常见位置是: 在语句中,在更新的值或子句中。UPDATE` 阅读全文
posted @ 2024-11-06 18:48
whitehe
阅读(47)
评论(0)
推荐(0)
摘要:
声明! 学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽sec 阅读全文
posted @ 2024-11-06 18:35
whitehe
阅读(33)
评论(0)
推荐(0)
摘要:
声明! 学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽sec 阅读全文
posted @ 2024-11-06 18:12
whitehe
阅读(28)
评论(0)
推荐(0)
摘要:
声明! 学习视频来自B站up主 泷羽sec > 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽se 阅读全文
posted @ 2024-11-06 18:02
whitehe
阅读(32)
评论(0)
推荐(0)
浙公网安备 33010602011771号