签到题 https://ctf.bugku.com/challenges/detail/id/1.html flag{BugKu-Sec-pwn!} 送分题,现实里百分之百不会存在类似题...
edusrc证书站逐个击破之某海理工
0x01 前言最近有师傅在后台留言,想咨询edu证书站的一些常规挖掘思路,具体是怎么挖到的,于是有了此篇文章,笔者打算做一个edu系列,把每个证书站的一些挖掘思路分享出来供大家学习交流(切勿...
SQL注入原理及思路(绕过)-超详细
目录1.SQL注入概念及产生原因:2.SQL注入的本质:3.SQL注入的两个关键点:1.判断注入点 sql注入点类型2.判断数据库类型 端口扫描 网站类型与数据库的联系 根据注释符判断 根据数据库特有...
一篇完整的甲方内部防钓鱼演练方案【可直接抄作业】
该文章为甲方内部自发组织钓鱼演练活动、乙方为甲方提供落地方案提供指导。一、 项目背景频繁的APT攻击事件告诉我们,员工都是企业安全比较薄弱的环节。在发起攻击时,黑客往往采用邮件钓鱼对目标组织...
本地文件包含(LFI)一个有趣漏洞
概括本地文件包含 (LFI) 是一种 Web 应用程序漏洞,允许攻击者在 Web 服务器上包含和执行任意文件。攻击者可以通过将恶意文件路径作为参数传递来利用此漏洞,该路径可能是服务器上的本地文件。这可...
西安-渗透测试工程师面试经验分享-上海匡创
上海匡创 渗透测试工程师面试分享 所面试的公司:上海匡创 薪资待遇:5k 所在城市:西安 面试职位:渗透测试工程师 面试过程:我的第一个面试,有点紧张,讲的也迷迷糊糊的 面试官的问题: 1、sql注入...
Python 中的输入函数:概念和示例
导读:在这篇文章中,我将通过一些通俗易懂的例子来解释 Python 的 input() 函数的基础知识。 本文字数:1906,阅读时长大约:2分钟在这篇文章中,我将通过一些通俗易懂的例子来...
RASP攻防中的矛与盾
引言随着第二期阿里云RASP挑战赛的圆满落幕,借此机会,我们今天想和大家聊一聊RASP攻防对抗的思路。SQL语义分析攻防探索防守方视角首先从“防”的视角而言,RASP不同于流量层检测产品,它能够通过H...
实战 | 众测厂商绑定手机处逻辑漏洞-可导致用户密码给修改
文章来源:转载来源语雀文档,非P喵呜作者本人投稿如有侵权,请联系删除0x01 漏洞描述1网站铭感操作没有添加 csrf_token2并且手机绑定流程可被绕过3用户可被钓鱼修改手机号码,从而导致用户密码...
WEB常见漏洞之命令执行(基础原理篇)
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
SQL注入【一】——SQL介绍与基础
0x01 原理介绍 当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中...
webshell绕过案例
背景在研究基于netfilter的后门时,我想到如果webshell可以创建af_packet、af_netlink等socket,就可以不使用$_POST、$_GET等方式获取用户输入,因为某些we...
13