LeeeBoom -- 一名WEB安全爱好者,以博客的形式记录自己的所看、所学、所做。

LeeeBoom

路虽远,行则将至👣  事虽难,做则必成👊

2020年2月26日
CSRF跨站请求伪造
摘要: CSRF(跨站请求伪造)解释:CSRF(跨站请求伪造)是一种网络的攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。 CSRF(跨站请求伪造)原理:CSRF,全称Cross-site request forgery,翻译过来就是跨 阅读全文
posted @ 2020-02-26 23:03 LeeeBoom 阅读(257) 评论(0) 推荐(0) 编辑
XSS跨站脚本攻击
摘要: XSS 漏洞原理 XSS又叫CSS(Cross Site Scripx),全称跨站脚本攻击。它指的是攻击者往Web页面或者URL里插入恶意JavaScript脚本代码,如果Web应用程序对于用户输入的内容没有过滤,那么当正常用户浏览该网页的时候,嵌入在Web页面里的恶意JavaScript脚本代码会 阅读全文
posted @ 2020-02-26 19:30 LeeeBoom 阅读(423) 评论(0) 推荐(0) 编辑
2020年2月25日
文件包含漏洞
摘要: 文件包含漏洞原理: 在通过PHP的相应函数(比如include())引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 文件包含漏润的形成,需要满足两个条件: 用户可控:用户能够控制文件的内容(向服务器上传一个新的文件、借用服务器已经存在的文件)后台执行:include()等函数通过动态变量的方式引入需要包含的文件 常用文件包含函... 阅读全文
posted @ 2020-02-25 14:09 LeeeBoom 阅读(352) 评论(0) 推荐(0) 编辑
文件上传漏洞
摘要: 文件上传漏洞原理 在文件上传的功能处,若服务端脚本语言未对上传的文件进行严格验证和过滤,导致恶意用户上传恶意的脚本文件时,就有可能获取执行服务端命令的能力,这就是文件上传漏洞。 文件上传漏洞对Web应用来说是一种非常严重的漏洞。一般情况下,Web应用都会允许用户上传一些文件,如头像、附件等信息,如果 阅读全文
posted @ 2020-02-25 12:08 LeeeBoom 阅读(1073) 评论(0) 推荐(0) 编辑
PHP常见代码执行后门函数
摘要: PHP常见代码执行后门函数 代码执行: 应用程序在调用一些能够将字符串转换为代码的函数(例如php中的eval中),没有考虑用户是否控制这个字符串,将造成代码执行漏洞。 常见php代码执行函数介绍 常用执行代码函数 1、eval(): eval函数将接受的字符串当做代码执行 2、 assert(): 阅读全文
posted @ 2020-02-25 03:17 LeeeBoom 阅读(947) 评论(0) 推荐(0) 编辑
SQL注入总结
摘要: SQL 注入总结 0x01 什么是SQL注入SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数 阅读全文
posted @ 2020-02-25 01:04 LeeeBoom 阅读(1071) 评论(0) 推荐(1) 编辑