随笔分类 - web
摘要:一、文件包含漏洞的原理 1、原理 网站开发者经常会把一些代码插入到指定的地方,从而节省之间避免再次编写 ,这就是包含函数的基础解释 ,但是我们不光可以包含我们预先指定的文件,也可以包含我们服务器内部的其他文件,前提条件就是我们需要有可读的权限才能读取这些文件 ,所以这样就会导致文件包含漏洞 2、产生
阅读全文
摘要:一、编写存在命令注入的代码 1.windows环境 <?php $target=$_REQUEST['ip']; $cmd = shell_exec('ping '.$target); echo "<pre>{$cmd}</pre>"; ?> 测试:http://127.0.0.1/1.php?ip
阅读全文
摘要:一、编写一个文件上传的页面 代码参考菜鸟教程:https://www.runoob.com/php/php-file-upload.html 结构: test | upload # 文件上传的目录 | form.html # 表单文件 | upload_file.php # php 上传代码 创建文
阅读全文
摘要:一、ssrf原理 服务器端请求伪造(SSRF)是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击。(利用一个可发起网络请求的服务当作跳板来攻击其他服务) 攻击者能够利用目标帮助攻击者访问其他想要攻击的目标 攻击者要求服务器为他访问URL 二、漏洞利用 1.创建一个包含ss
阅读全文
摘要:一、xss漏洞原理 1.什么是xss漏洞? 跨站点脚本(也称为 XSS)是一种 Web 安全漏洞,允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网站相互隔离。跨站点脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如
阅读全文
摘要:一、域名解析的整个过程 1.域名和域名解析概念 a、域名 域名(Domain names)是互联网基础架构的关键部分。它们为互联网上任何可用的网页服务器提供了方便人类理解的地址。 域名格式: 顶级域名: 国家顶级域名nTLD:采用ISO3166的规定。如:cn代表中国,us代表美国,uk代表英国,等
阅读全文
