前言 前面的文章分享了一些Java中跨站脚本攻击的审计思路。结合github上某实际的代码环境进行相关的实战,以下记录相关的审计过程。 相关过程 首先拿...
05月10日85 views评论request
关键字
记一次跨站脚本攻击审计过程
05月10日85 views评论request
关键字
05月10日85 views评论request
关键字
JaveWeb中常见的信息泄漏——DWR类测试地址
关于DWR DWR(Direct Web Remoting)是一个用于改善web页面与Java类交互的远程服务器端Ajax开源框架,可以帮助开发人员开发包含AJAX技术的网站。...
05月09日678 views评论java
javascript
ThinkPHP3.2.3 SQL注入漏洞分析
where注入 在控制器写如下demo开始测试 php public function ghtwf01(){ $data = M('users')->where('id='.I('id'))-&...
05月09日118 views评论data
php
Web层面上的那些拒绝服务攻击(DoS)
Web层面上的那些拒绝服务攻击(DoS) 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,Vulkey_Chen(戴城)不为此承担任何责任。 Vulkey...
05月09日66 views评论拒绝服务
攻击
漫谈Java反序列化
前言 Java的反序列化漏洞探索出了Java安全的新纪元。开发人员为什么要反序列化呢?众所周知,用户和服务器进行交互时,会传输一下数据,数据传输前需要格式化,将数据转化成服务...
05月09日63 views评论java
序列化
CTFSHOW 36D杯 WEB简单的Write-Up
平台地址:https://ctf.show/ 题目质量还是很不错的。本人比较菜,希望能给各位师傅一点小小的帮助 你取吧 打开题目给了源码 php <?php error_reportin...
05月09日490 views评论file
php
学习笔记-Web安全访问控制及权限提升漏洞
什么是访问控制? 通常应用程序首先验证用户身份(账号密码登录),随后确认后续请求是否由该用户发出(会话管理),然后判断是否允许用户执行“所请求的操作”或访问"所请求的资源"(访问控制) 从用户角度访问...
05月09日190 views评论应用程序
用户
Python爬虫学习笔记:开始前的准备
前言 好久不见,Python基础系列完结也有段时间了,希望帮到了大家。 从今天开始我将开始更新一个新的系列:Python爬虫学习笔记。 如你所见,本系列并不是复杂完备的教程,主要还是和大家一起分享我在...
05月09日86 views评论python
搜索引擎
一次魔幻的SQL Injection到Getshell
有的时候,得用魔法才能对抗魔法 话不多说,老八,上菜 前言 当时有个外国朋友丢过来一个网站,表示在做渗透让帮忙看看 我放下手中的《黑客入门》,打开了啊D 可谁能想到这却是一场魔法渗透的开端 正文 ::...
05月09日69 views评论center
渗透
VulnHub通关日记-DC_3-Walkthrough
靶机简介 这篇文章是DC系列第三篇Walkthrough,总共有8篇,敬请期待! 下载地址:https://www.vulnhub.com/entry/dc-3,312/ 这次靶机只有一个 Flag,...
05月09日182 views评论vulnhub
靶机
隐蔽信道:隐形网络
序言 通常来说,攻击者会使用隐藏的网络来绕过防火墙和IDS的检测。在这篇文章中,你将会学习到如何通过无法检测的网络通信从目标主机中获取信息。这种类型的网络也被称为隐蔽信道,对于任何的监控设备/应用或者...
05月09日176 views评论检测
红队
JavaWeb中常见的信息泄漏—Hystrix面板
关于Hystrix 在微服务的应用场景中,通常会有很多层的服务调用。应用程序有数十个依赖关系,每个依赖关系在某些时候不可避免的会出现问题(例如调用响应时间过长或不可用)。如果一...
05月08日682 views评论服务
架构
1156