前言代码审计---证书申请系类前言mvc框架的,白盒和黑盒测试。构成分析存在index.php文件中,前面包含了3个php文件,并且定义了四个常量。我们重点关注 ./skymvc/skymvc.php...
10月16日9 views评论sql注入
代码审计
[代码审计]某cms前台Referer-sql注入
10月16日9 views评论sql注入
代码审计
10月16日9 views评论sql注入
代码审计
0基础入门代码审计-4 CSRF
0x01 漏洞描述CSRF 为 “跨站请求伪造”,是一种劫持其他用户进行非法请求的攻击方式,主要用于越权操作,与 XSS 相比更具有危险性。0x02 审计要点1、首先要熟悉框架对 ...
09月05日18 views评论csrf
代码审计
渗透测试驻场面试真实经验分享
不点蓝字,我们哪来故事?面试经验分享 最近接到一个渗透测试驻场项目。几位同事去面试了下,下面对面试的问题进行一个汇总。1.json的csrf的利用2.小程序的渗透和普通渗透的差异...
08月05日113 views评论xss
渗透测试
403Forbidden
免责声明月落星沉研究室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。...
07月02日43 views评论origin
referer
安全相关--网站常见的反爬虫和应对方法
常见的反爬虫这几天在爬一个网站,网站做了很多反爬虫工作,爬起来有些艰难,花了一些时间才绕过反爬虫。在这里把我写爬虫以来遇到的各种反爬虫策略和应对的方法总结一下。从功能上来讲,爬虫一般分为数据采集,处理...
06月16日安全闲碎44 views安全相关--网站常见的反爬虫和应对方法已关闭评论ip
爬虫
CSRF--花式绕过Referer技巧
CSRF遇到Referer绕过的情况,有条件限制,不一定所有的Refere验证就可以绕过1.referer条件为空条件时解决方案:利用ftp://,http://,https://,file://,j...
04月24日44 views评论csrf
referer
【实用手册】CSRF跨站请求伪造漏洞
漏洞名称:CSRF跨站请求伪造漏洞漏洞级别:中危漏洞描述:攻击者通过伪造请求,利用目标用户的权限在网站上执行非法操作。这种漏洞通常是通过在网站中嵌入恶意代码来实现的,当目标用户访问了恶意网站时,攻击者...
04月23日8 views评论csrf
xss
内存马生成工具 -- JNDIExploit
=================================== 免责声明 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本...
03月18日164 views评论cn
内存马
服务器端请求伪造(SSRF)-盲SSRF漏洞
在本节中,将解释什么是盲SSRF,描述一些常见的盲SSRF示例,并演示如何查找和利用盲SSRF漏洞。 什么是盲SSRF?当可以诱导应用程序向提供的URL发出后端HTTP请求,但后端请求的响应...
03月08日132 views评论burp
ssrf
实战 | 漏洞挖掘之众测厂商 Ticket劫持漏洞
0x00 前言文章中的项目地址统一修改为: test.com 保护厂商也保护自己0x01 前期准备受害者账号: 18******977攻击者账号: tsetaaaa攻击者服务器:123.207.33....
02月07日26 views评论com
攻击者
我如何能够绕过Linkedln开放重定向保护
嗨,大家好,在这里,我将谈论几个月前在Linkedln中发现的一个不错的漏洞。在进入漏洞之前,让我快速向您介绍开放重定向。当应用程序以不安全的方式将用户可控制的数据合并到重定向的目标中时,就会出现开放...
01月08日41 views评论referer
重定向
sqlmap技巧以及代理池
我们在sqlmap进行注入时,由于手速太快,操作太快。往往会被WAF封掉IP。煮熟的鸭子飞了,该如何解决呢?sqlmap相关技巧sqlmap批量注入sqlmap.py -m 资产....
01月03日安全文章83 views评论socket
sqlmap
5