分类 web安全 下的文章

  1. 首页
  2. web安全

Web安全学习之XXE漏洞利用

好久没更新文章了 ,大家有没有想我阿 什么是XXEXXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击(那为啥不叫XEE)。对于 XXE 想要真正的了解它,就需要先来了解一下XML是什么。XML(Extensible Markup Language)英文直译就是可扩展标记语言,“标记” 是指计算机所...

  • AT.风华
  • 2020 年 11 月 17 日
  • 1 条评论

    • waf绕过的常见手法

    一、空格绕过:(1)/**/代替空格(2)+号代替空格,尤其出现在wts拦截上。(3)%09  tab键 或者 %0a  换行符(4)使用空白字符: %00 %01 %02 %03 %04 %05 %06 %07 %0b %0c %0e %0f %10 %11 %12 %13 %14 %15 %16 %17 %18 %19 %1a %1b ...

  • 秋童鞋
  • 2020 年 09 月 27 日
  • 暂无评论

    • Web安全基础学习之SSRF漏洞利用

    什么是ssrfSSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。简单来讲就是,服务器会响应用户的url请求,但是没有做好过滤和限制,导致可以攻击内网。漏洞产生由于服务...

  • AT.风华
  • 2020 年 09 月 26 日
  • 暂无评论

    • Web安全学习之XSS漏洞实战学习

    Web安全学习之XSS漏洞实战学习编写一个存在 xss 漏洞的页面利用 xss 漏洞获取当前用户 cookie思考,利用 xss 漏洞能干嘛(参考 beef)扩展学习:学习如何防御 xss、总结防御策略加到报告里要求:记录编写的页面代码、操作流程、思考总结反射型XSS原理反射型xss一般出现在URL参数中及网站搜索栏中,由于需要点击包含恶意代码的URL才可以触发,并且只能触发一次,所以也被称...

  • AT.风华
  • 2020 年 09 月 26 日
  • 2 条评论

    • Web安全学习之文件包含漏洞利用

    这一篇主要来聊一聊PHP的文件包含漏洞,主要包括本地文件包含(Local File Inclusion,LFI)、远程文件包含(RemoteFile Inclusion, RFI)和PHP伪协议的利用。文件包含的基本概念严格来说,文件包含漏洞是代码注入的一种,其原理就是注入一段用户能控制的脚本或代码,使服务器端执行。至于文件包含,也就是一种“外部数据流包含”,这个外部数据流可以是文件,也可以...

  • AT.风华
  • 2020 年 09 月 24 日
  • 1 条评论