随着互联网深入到各行各业,越来越多的应用系统、网站等被人类通过网络连接、访问。如何保障系统、网站不会因黑...
04月06日48 views评论xss
攻击者
hvv面试题整理(补充版)
由于篇幅的原因上一次有一些常见的面试题没有发完,承接上次面试题整理如下:sql 注入的分类?sql 注入的预防?序列化与反序列化的区别常见的中间件漏洞?内网渗透思路?正向代理和反向代理的区别蚁剑/菜刀...
03月27日335 views评论sql
xss
【渗透基础系列】一文读懂XSS、CSRF、SSRF、XXE漏洞原理、应用、防御
【Hacking黑白红】,一线渗透攻防实战交流公众号回复“电子书”获取web渗透、CTF电子书:回复“视频教程”获取渗透测试视频教程; 回复“内网书籍”获取内网学习书籍;&nbs...
03月26日252 views评论xss
攻击者
从一些常见场景到CSRF漏洞利用
本文首发于先知社区0x00 前言闲来无事,开启了CSRF与SSRF漏洞的学习之旅。为什么要放一起学习呢?因为两者比较像,都是请求伪造。CSRF跨站请求伪造,SSRF服务器请求伪造。0x01 CSRF漏...
03月25日166 views从一些常见场景到CSRF漏洞利用已关闭评论csrf
漏洞
一次渗透测试引发的Json格式下CSRF攻击的探索
0x00 前言漏洞背景hw时期在电信三巨头之一旗下的子公司出差,做一下渗透测试。公网的业务主挖逻辑漏洞,但是每次挖着挖着就变成了CSRF攻击,出差半个月算是把这辈子的CSRF都给挖完了。testme师...
03月19日104 views评论web
渗透测试
Phpwind GET型CSRF任意代码执行
0x01 后台反序列化位置首先纵览整个phpwindv9,反序列化的位置很多,但基本都是从数据库里取出的,很难完全控制序列化字符串。最后,找到三处:可恶的是,三处都在后台的Task模块下。Task模块...
03月17日125 views评论php
反序列化
漏洞组合拳之XSS+CSRF记录
作者:Freebuf-TeamsSix 原文地址:http://33h.co/9i04q今天学习一下 XSS + CSRF 组合拳,现将笔记记录如下。靶场环境本机(Win):19...
03月08日109 views评论xss
代码
SUSCTF-2022 部分WriteUp
SUSCTF 本次比赛Misc方向题目由魔法少女雪殇、小夜、valen全部解出。团队纳新事项已提上日程,有兴趣的师傅可以留意一下公众号文章。Web★fxxkcors思路:CSRF修改用户权限附件中的j...
03月03日246 views评论csrf
writeup
干货|python安全和代码审计相关资料整理
代码注入、命令执行1.内置危险函数execexecfileeval2.标准库危险模块ossubprocesscommands3.危险第三方库Template(user_input) : 模板注入(SS...
03月01日411 views评论cve
web
2023级安全岗面试题及面试经验分享
一个2023届毕业生在毕业前持续更新、收集的安全岗面试题及面试经验分享~源自:https://github.com/vvmdx/Sec-Interview-4-2023公众号后台回复:面试。可以获得P...
02月22日274 views评论csrf
漏洞
Gibbon学校管理系统,比XSS到RCE
CSRF及SSRF漏洞案例讲解
原文作者:zhengna 原文地址:https://www.cnblogs.com/zhengna/p/15774611.htmlCSRF原理图解知识点CSRF解释、原理:C...
02月05日226 views评论xss
攻击者
30