大家好我是早上渗透工程师、晚上健身教练、凌晨工厂保安的铁人三项打工仔。1、漏洞原理 SSRF(Server...
CVE-2021-31166:HTTP.SYS中的蠕虫级代码执行漏洞
点击上方蓝字关注我们IIS/HTTP协议IIS是一种灵活、可伸缩,安全且易于管理的Web服务器,用于在Web上托管静态和动态内容。IIS支持各种Web技术,包括HTML、ASP、ASP.NET、JSP...
协议分析|HTTP协议浅析
目录 HTTP和HTTPS Cookie、Session HT...
shiro反序列化绕WAF之未知HTTP请求方法
0x01 背景当下WAF对shiro的防护,确实比较严格。对rememberMe的长度进行限制,甚至解密payload检查反序列化class。本周我遇到一个场景,就是这种情况。使...
复杂加密接口的一种SQL注入测试方法
作者:whwlsfb今天遇到一个存在SQL注入漏洞的系统通过手动修改参数值后确认漏洞确实存在,但是这么明显的注入漏洞,不可能留到现在等我发现啊,但是转头看他的请求包:emmmm……这八成是要写tamp...
SSRF服务器请求伪造
一、服务器请求伪造SSRF(Server-Side Request Forgery:服务器端请求伪造) 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与...
CSRF跨站请求伪造
CSRF(跨站请求伪造)概述Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用...
xss攻击(二) &和CSRF跨站请求伪造攻击的学习
1.DOM-based XSS基于DOM的XSS,也就是web server不参与,仅仅涉及到浏览器的XSS。比如根据用户的输入来动态构造一个DOM节点,如果没有对用户的输入进行过滤,那么也就导致XS...
VulnRang靶场web安全基础之http 协议
1.1 http1.1.1 Method提示:请求方法 了解HTTP协议吗分析:当请求方法是WINTRYSEC可拿到flag。使用burp抓包修改请求包。源码<?php h...
【CTF web入门第九篇】web入门
bugku-ctf 第一题: 你从哪里来此题考点在抓包工具的使用以及对数据包的了解,referer的了解。打开链接修改http referer头即可打开抓包工具Burpsuite得到:flag{bug...
通过一道CTF学习HTTP协议请求走私
HTTP请求走私HTTP请求走私HTTP请求走私是针对于服务端处理一个或者多个接收http请求序列的方式,进行绕过安全机制,实施未授权访问一种攻击手段,获取敏感信息,并直接危害其他用户。请求走私大多发...
学习手册:浅析DDOS的攻击及防御
现如今,信息技术的发展为人们带来了诸多便利,无论是个人社交行为,还是商业活动都开始离不开网络了。但是网际空间带来了机遇的同时,也带来了威胁,其中DDoS就是最具破坏力的攻击,通过这些年的不断发展,它已...
12