一、分析如下代码功能及漏洞,并书写payload<?phpif (isset($_GET['page'])) { //判断参数page是否为空$page = $_GET['page'];} e...
作业三 web安全伪协议
file_get_contents解题:这题考察data伪协议,在PHP中,data伪协议允许你直接从数据流中读取内容。使用file_get_contents读取data伪协议,就可以获得任何你想要的...
web安全 | 敏感信息泄露检测与防护技术详解
一、集中式硬编码密码描述硬编码密码是指将密码、密钥等敏感信息以明文形式直接写入代码中(如Java、Python、C++等语言中的字符串常量),通常是开发阶段为图方便而采用的临时措施。然而,这种做法在代...
安恒Web安全春招面试题
安恒Web安全春招面试题 针对 XSS/SSRF漏洞场景复现与绕过技术的模拟面试题目及参考答案,涵盖基础原理、实战场景和高级绕过思路 , , , 原文始发于微信公众号():安恒Web...
文件上传安全测试工具 Upload_Super_Fuzz_Gui
0x01 工具介绍 这是一个专业的文件上传安全测试工具,旨在帮助安全研究人员和开发者全面检测Web应用文件上传功能的安全漏洞。该工具通过生成多种文件上传绕过技术的Payload,帮助识别潜在的安全风险...
渗透测试工具箱 My_ToolBox
0x01 工具介绍 一个基于 Python 和 Tkinter 的模块化渗透测试工具箱,支持多种工具类型和环境配置。 0x02 安装与使用 直接运行exe可执行文件 必须文件: config.ini配...
CTF入门教程(非常详细)从零基础入门到竞赛,看这一篇就够了!
一、CTF入门最近很多朋友在后台私信我,问应该怎么入门CTF。个人认为入门CTF之前大家应该先了解到底什么是CTF,而你学CTF的目的又到底是什么;其次便是最好具备相应的编程能力,若是完全不具备这些能...
【web安全】actuator实战利用思路
背景Spring Boot Actuator 是 Spring Boot 生态系统中的一个关键组件,旨在提供对应用程序的监控和管理能力。它提供了一系列的端点(endpoints),允许开发人员查看应用...
【web安全】短信轰炸排查思路分享
背景近期在进行短信轰炸的漏洞排查专项,所以对当下的短信轰炸进行排查的案例以及对排查方案进行总结。环境准备1. burp2. Ehole主题总结1、空格绕过的短信轰炸案例分享2、短信轰炸的排查方案示例3...
越权扫描工具 InfiltrateX
0x01 工具介绍 一个好用的越权扫描工具。越权漏洞自动化检测难、易发生且危害严重,但我们仍可以尽力自动化检测一部分越权漏洞。 0x02 安装与使用 界面展示 下载: https://github.c...
WEB安全梳理-文件上传
"又一天过去了。今天过得怎么样,梦想是不是更远了?"导读 以前做的一个简单的梳理,涉及操作系统、数据库、中间件、HTTP协议、XSS、文件处理漏洞、访问控制漏洞、会话管理漏洞、请...
DeepSeek攻防战|web安全如何应对网络威胁新挑战
近来,DeepSeek(深度求索)走俏全球,随之而来的大规模恶意网络攻击却一度让DeepSeek为了能够持续提供服务而不得不临时限制注册。作为一款基于人工智能的大模型工具,DeepSeek在短时间内遭...