安全百科

JWT攻击

01JWTJSON Web Token (JWT)是一个开放标准(RFC 7519) ,用于作为 JSON 对象在各方之间安全地传输信息,因为它是经过数字签名的,所以此信息可以进行验证和信任,通常用于...
阅读全文

SQL盲注

  声明 本文作者:CloudStrife(玄螭安全实验室-核心成员) 玄螭安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明,文章来源等全部内...
阅读全文
安全百科

命令注入

01定义命令注入(Command Injection) 是攻击者通过篡改用户输入参数,将恶意命令“拼接”到应用程序的系统调用中,从而直接控制服务器操作系统。 高危场景: 网站调用ping、nslook...
阅读全文
安全百科

【渗透知识】XXE注入

免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不承担任何法律及连带责任。[ 简介 ]XXE注入在...
阅读全文
安全百科

文件上传漏洞

无论是社交网站的头像上传,还是论坛的附件分享,只要存在代码设计缺陷,攻击者就能通过这个“入口”轻松控制你的服务器。 01原理文件上传漏洞的本质是开发者未对用户上传的文件进行充分的安全校验,导致攻击者可...
阅读全文
安全百科

SSTI

01定义 SSTI(Server-Side Template Injection),服务端模板注入,是攻击者通过向模板引擎(如Jinja2、Thymeleaf)注入恶意代码,进而控制服务器的高危漏洞。...
阅读全文