今天第一节咱们需要突破验证码的问题。测试地址:http://www.xxxxxxxxxx.com:2000/Login.aspx这个地址就是博主所毕业的院校,大专,官网存在sql注入漏洞,sa权限等各...
05月19日46 views评论name
web
对某校成绩查询系统的查询接口进行突破(WEB分析)
05月19日46 views评论name
web
05月19日46 views评论name
web
PWNHUB 公开赛 / 傻 fufu 的工作日 Writeup
0x01 题目介绍 啊~又到了(划水的)工作日,工作一整天,人都傻 fufu 的了… 不如让我们来跟胖哈勃来一场星际旅行吧! 旅行直通票就在下面这个地址里喔: http://54.223...
05月17日安全博客70 views评论data
php
Python框架CSRF防御机制及攻击面浅析
最近用Flask重写了一套个人博客系统,已上线。防御机制目前主流CSRF的防御思路可总结为:在用户携带的信息(Cookie)之外置入token并在服务端检验,该token要满足一次性、随机性主流Pyt...
05月10日146 views评论python
xss
解析漏洞—中间件
解析漏洞简介解析漏洞是指web服务器因对http请求处理不当导致将非可执行的脚本,文件等当做可执行的脚本,文件等执行。该漏洞一般配合服务器的文件上传功能使用,以获取服务器的权限。解析漏洞常见的解析漏洞...
04月23日186 views评论name
php
给CTFd加个机器人配置接口
之前文章里 CTFd 机器人是用爬虫脚本跟 go-cqhttp 结合实现的,爬虫爬取 CTFd 的 api 中的新增解题记录,然后访问 go-cqhttp 的服务发送消息,有个问题是爬虫经常挂掉,不太...
04月09日166 views评论html
数据库
应用层WAF绕过
一、引言WAF (Web Application Firewall)即应用防火墙。主要是用于HTTP(S)协议的校验、拦截恶意(攻击)请求,放行正常的业务请求。WAF的类型分为三类:网络层、应用层、云...
04月09日29 views评论php
数据包
Spring4Shell 概念证明/信息
点击上方蓝字“Ots安全”一起玩耍Spring4Shell 概念证明/信息今天一大早,多个消息来源得知流行的 java 框架 spring 中可能存在 RCE 漏洞。这个漏洞的命名是基于与臭名昭著的 ...
03月31日201 views评论com
https
某监控平台存在越权查看管理员用户密码
【Bypass】安全狗apache V4.0.23137 SQL注入绕过
✎ 阅读须知乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入...
03月16日122 views评论http
网络安全
利用XSS获取用户明文账户密码
我们知道在浏览器存在这样一个功能,当用户登录成功了一个网页后,浏览器会提示我们是否保存密码。如果我们点击同意,那么浏览器就会将账户及密码进行保存。当我们退出账户再次访问登录页面的时候,我们会发现浏览器...
03月07日245 views评论name
xss
为什么Web端登录需要验证码?
很多朋友们对于登录必然遇到的验证码这个事情很不理解,增加用户操作的冗余性,直接登录很方便,为什么web端登录要添加个验证码?直到上周,一家做业务安全的公司给出我们现在Web网站的安全报告,我才意识到:...
03月07日97 views评论http
web
Xss 备忘单
HTML 上下文——简单的标签注入当输入位于 HTML 标记或外部标记的属性值内时使用。<svg onload=alert(1)> "><svg onload=alert(1)...
03月05日81 views评论web
xss
11