返回顶部

02 2023 档案

摘要:CSRF—跨站请求伪造 原理:csrf漏洞的成因就是网站的cookie在浏览器中不会过期,伪造信任用户的请求,只要不关闭浏览器或者退出登录,那以后只要是访问这个网站,都会默认你已经登录的状态。而在这个期间,攻击者发送了构造好的csrf脚本或包含csrf脚本的链接,可能会执行一些用户不想做的功能(比如 阅读全文
posted @ 2023-02-24 09:45 Xuno 阅读(24) 评论(0) 推荐(0) 编辑
摘要:Unserialize反序列化 什么是序列化? 序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 【将状态信息保存为字符串】 简单的理解:将PH 阅读全文
posted @ 2023-02-23 17:46 Xuno 阅读(324) 评论(0) 推荐(0) 编辑
摘要:本地文件包含与远程包含 原理:攻击者利用包含的特性,加上应用本身对文件(包含)控制不严格,最终造成攻击者进行任意文件包含。(注:包含的文件会被当成脚本文件来解析) 一句话来说就是:文件包含并不属于漏洞,但是,由于对包含进来的文件不可控,导致了文件包含漏洞的产生。 包含文件很有用,可以简化代码;文件包 阅读全文
posted @ 2023-02-12 23:35 Xuno 阅读(250) 评论(0) 推荐(0) 编辑
摘要:十条nmap常用的扫描命令 NMap,也就是Network Mapper,是Linux下的网络扫描和嗅探工具包。 nmap是在网络安全渗透测试中经常会用到的强大的扫描器。功能之强大,不言而喻。下面介绍一下它的几种扫描命令。具体的还是得靠大家自己学习,因为实在太强大了。 1) 获取远程主机的系统类型及 阅读全文
posted @ 2023-02-02 17:01 Xuno 阅读(125) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示