01 2022 档案

学过C都能学会的python之入入入门
摘要:文章目录 python基本语法编码变量(标识符)命名行和缩进多行语句输入输出**字符串格式化** 数据结构与运算符列表增加、删除元素 字典增加、删除元素 元组集合运算 条件控制与循环条件控制循环 python进阶函数函数定义 文件操作正则表达式match方法search方法compile函数find 阅读全文

posted @ 2022-01-27 13:41 小丑首长 阅读(59) 评论(0) 推荐(0) 编辑

业务逻辑漏洞
摘要:文章目录 身份认证安全绕过身份认证的几种方法暴力破解撞库 cookie和session类加密测试 数据篡改业务授权安全任意密码修改用户凭证暴力破解跳过验证步骤 接口重放攻击 身份认证安全 绕过身份认证的几种方法 暴力破解 测试方法∶在没有验证码限制或者一次验证码可以多次使用的地方,可以分为以下几种情 阅读全文

posted @ 2022-01-17 14:25 小丑首长 阅读(35) 评论(0) 推荐(0) 编辑

web之中间件漏洞
摘要:jsp中间件 tomcat漏洞利用 tomcat服务器是一个免费的开放源代码的web应用服务器,通常用于jsp cve-2017-12615了解: 漏洞成因:tomcat运行在windows主机上,且启用了http put请求方法,可通过构造的攻击请求向服务器上传包含任意代码的jsp文件,造成任意代 阅读全文

posted @ 2022-01-14 17:19 小丑首长 阅读(17) 评论(0) 推荐(0) 编辑

SSRF漏洞原理和利用
摘要:文章目录 SSRFSSRF漏洞危害SSRF漏洞防御及修复SSRF相关危险函数 ssrf漏洞利用redis配合gopher协议进行ssrfredis常见的ssrf攻击方式大概有如下几种: SSRF 服务器请求伪造 可以看到,SSRF是基于一些其他漏洞,比如XXE,文件包含等,XXE参数访问其他网站的实 阅读全文

posted @ 2022-01-14 15:01 小丑首长 阅读(224) 评论(0) 推荐(0) 编辑

XXE漏洞的原理和利用
摘要:XXE全称为XML外部实体注入、 XML XML是可扩展标识语言的简写,和HTML的形式很像,后来用于应用程序之间数据传输的常用格式 HTML旨在显示信息,XML旨在传输信息 XML实体 根据实体来源可定义为内部实体和外部实体。XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种作为参 阅读全文

posted @ 2022-01-03 21:29 小丑首长 阅读(155) 评论(0) 推荐(0) 编辑

CSRF原理及防御
摘要:文章目录 CSRF漏洞危害CSRF漏洞防御CSRF和XSS的区别 利用方式同源策略:JSONP跨域 CSRF漏洞危害 攻击者盗用了用户的身份后,以用户的名义发送恶意请求。CSRF的恶意操作∶以用户名义发送邮件,发消息,盗取账号,购买商品,虚拟货币转账等等·造成的问题包括:个人隐私泄露以及财产安全问题 阅读全文

posted @ 2022-01-01 21:52 小丑首长 阅读(43) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示