2024年11月8日
泷羽sec----python基础学习(Part 1)
摘要: 声明! 学习视频来自B站up主 泷羽sec 有兴趣的师傅可以关注一下,如涉及侵权马上删除文章,笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!!有兴趣的小伙伴可以点击下面连接进入b站主页B站泷羽sec 阅读全文
posted @ 2024-11-08 00:31 whitehe 阅读(23) 评论(0) 推荐(0)
2024年11月7日
XSS初探及实验
摘要: 一、前置了解 1、什么是跨站点脚本 (XSS)? 跨站点脚本(也称为 XSS)是一种 Web 安全漏洞,它允许攻击者破坏用户与易受攻击应用程序的交互。它允许攻击者规避同源策略,该策略旨在将不同的网站彼此隔离。跨站脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据 阅读全文
posted @ 2024-11-07 17:05 whitehe 阅读(149) 评论(0) 推荐(0)
2024年11月6日
业务漏洞初探
摘要: 一、 前置了解知识 1. 什么是业务逻辑漏洞? ​ 业务逻辑漏洞是应用程序设计和实现中的缺陷,允许攻击者引发意外行为。这可能使攻击者能够操纵合法功能来实现恶意目标。这些缺陷通常是由于未能预测可能发生的异常应用程序状态,因此无法安全地处理它们。 ​ 在此上下文中,术语“业务逻辑”仅指定义应用程序如何运 阅读全文
posted @ 2024-11-06 19:29 whitehe 阅读(95) 评论(0) 推荐(0)
条件竞争初探
摘要: 比赛条件 争用条件是一种常见的漏洞类型,与业务逻辑缺陷密切相关。当网站在没有足够保护措施的情况下同时处理请求时,就会发生这种情况。这可能导致多个不同的线程同时与相同的数据进行交互,从而导致“冲突”,从而导致应用程序中出现意外行为。争用条件攻击使用精心定时的请求来造成故意冲突,并利用这种意外行为来达到 阅读全文
posted @ 2024-11-06 19:24 whitehe 阅读(77) 评论(0) 推荐(0)
SSRF初探
摘要: 什么是 SSRF? 服务器端请求伪造是一种 Web 安全漏洞,允许攻击者使服务器端应用程序向意外位置发出请求。 在典型的 SSRF 攻击中,攻击者可能会使服务器连接到组织基础结构中的仅限内部的服务。在其他情况下,它们可能能够强制服务器连接到任意外部系统。这可能会泄露敏感数据,例如授权凭据。 SSRF 阅读全文
posted @ 2024-11-06 19:21 whitehe 阅读(407) 评论(0) 推荐(0)
服务器端漏洞基础
摘要: 服务器端漏洞 路径遍历 在linux系统中…/…/…/…/…/返回目录 即…/代表返回上一级目录 存取控制 有的web网站中,对于网页目录可能没有太多限制 如,www.baidu.com/admin ,可能存在后台系统 如,www.baidu.com/robots.txt ,robots.txt是因 阅读全文
posted @ 2024-11-06 19:16 whitehe 阅读(32) 评论(0) 推荐(0)
访问控制与权限提升初探
摘要: 一、 前置知识了解 什么是访问控制? 访问控制是对有权执行操作或访问资源的人员或内容施加约束。在 Web 应用程序的上下文中,访问控制依赖于身份验证和会话管理: 身份验证确认用户是他们所说的人。 会话管理可识别同一用户正在发出哪些后续 HTTP 请求。 访问控制确定是否允许用户执行他们尝试执行的操作 阅读全文
posted @ 2024-11-06 19:15 whitehe 阅读(123) 评论(0) 推荐(0)
XXE初探
摘要: 一、定义 1. 什么是 XML 外部实体注入? XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。 在某些情况下,攻击者可以通过利用 阅读全文
posted @ 2024-11-06 19:12 whitehe 阅读(63) 评论(0) 推荐(0)
nosql注入初探
摘要: <link rel="stylesheet" href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/markdown_views-f23dff6052.css"> <link rel="stylesheet" hre 阅读全文
posted @ 2024-11-06 18:58 whitehe 阅读(141) 评论(0) 推荐(0)
SQL注入备忘录
摘要: <link rel="stylesheet" href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/markdown_views-f23dff6052.css"> <link rel="stylesheet" hre 阅读全文
posted @ 2024-11-06 18:49 whitehe 阅读(25) 评论(0) 推荐(0)