在本节中,将描述一些常见的防止SSRF行为的措施,并介绍如何绕过这些防御机制。带有基于黑名单输入过滤的SSRF一些应用程序会阻止包含主机名(如127.0.0.1和localhost)或敏感URL(如/...
目录遍历攻击(下)
在本节中,将会解释什么是目录遍历,并通过靶机试验描述如何进行路径遍历攻击和规避常见的障碍。 目录遍历中常见的绕过机制在某些情况下,例如在URL路径或multipart/form-data请求...
URL编码与解码
在项目中碰到了ajax传来的参数,后台接收值乱码(如下图)的问题 在此记录一下前台:后台:解决问题为什么需要编码怎样编码实际出现的问题解决方法1.为什么需要编码?URL 只能使用 ASCII 字符集来...
JWT漏洞详解
0x01 JWT本篇文章是我从ddctf的web签到题学习到的JWT漏洞利用。token认证方式:基于token的用户认证方式,让用户输入账号密码,认证通过后获得一个token(令牌),在token有...
OSCP难度靶机之Temple of DOOM:1
虚拟机信息:虚拟机下载地址:https://www.vulnhub.com/entry/temple-of-doom-1,243/虚拟机简介:有两种方式获取root权限目标:1个flag级别:简单/中...
2