摘要:
文件包含分为远程文件包含和远程文件包含 比如程序员为了提高效率让代码看起来简洁,会使用包含函数的功能,写多个文件 之后需要了进行调用,比如.c写了很多个函数分别在不同的文件里,用的时候直接 引用文件即可。但是如果没有做好控制,使得前端用户也可以操作目标文件,就会 出现文件包含漏洞。 本地文件包含 观 阅读全文
摘要:
远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 阅读全文
摘要:
SQL Injection攻击流程 1.找到注入点,可以用web漏洞扫描工具自动找或者自己输入payload进行查找 2.通过注入点输入payload爆出信息,比如版本操作系统,表列字段的值 3.获取操作系统权限,通过数据库执行shell上传木马。 数字型注入post 因为是post,所以不会在UR 阅读全文
摘要:
CSRF简介 CSRF 是 Cross Site Request Forgery 的 简称,中文名为跨域请求伪造在CSRF的攻击场景中,攻击者会伪造一个请求(一般是一个链接)然后欺骗目标用户进行点击,用户一旦点击了这个请求,这个攻击也就完成了所以CSRF攻击也被称为“one click”攻击 CSR 阅读全文