2024年5月12日
不安全的URL跳转(Pikachu)
摘要: 原理 URL跳转漏洞学习 - FreeBuf网络安全行业门户 修复 1.若跳转的URL事先是可以确定的,包括url和参数的值,则可以在后台先配置好,url参数只需传对应url的索引即可,通过索引找到对应具体url再进行跳转; 2.若跳转的URL事先不确定,但其输入是由后台生成的(不是用户通过参数传人 阅读全文
posted @ 2024-05-12 14:10 machacha 阅读(67) 评论(0) 推荐(0) 编辑
RCE(Pikachu)
摘要: 作用 可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 原理 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用 阅读全文
posted @ 2024-05-12 14:09 machacha 阅读(93) 评论(0) 推荐(1) 编辑
2024年5月10日
SQL注入(pikachu)
摘要: 注入流程 SQL注入注入点判断与注入手法介绍 - FreeBuf网络安全行业门户 【干货】如何判断 Sql 注入点_判断是否存在sql注入-CSDN博客 1、是否有注入点 >第一要素 在参数后面加上单引号,如果页面返回错误,则存在 Sql 注入。原因是无论是字符型还是整型都会因为单引号个数不匹配而报 阅读全文
posted @ 2024-05-10 14:11 machacha 阅读(192) 评论(0) 推荐(1) 编辑
CSRF(Pikachu靶场练习)
摘要: CSRF(get) 自己随便输点东西,回显登录失败,查看源码没发现什么 点开提示,登录进去看看 看到可以修改个人信息,我们把居住改成China,修改成功,没发现urlhttp://127.0.0.1/pikachu/vul/csrf/csrfget/csrf_get_edit.php有变化 这次我们 阅读全文
posted @ 2024-05-10 14:05 machacha 阅读(265) 评论(0) 推荐(1) 编辑
2024年5月3日
XSS(Pikachu)
摘要: XSS(Pikachu靶场) 概述 Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型: 1.反射性XSS; 2.存储型XSS; 3.DOM型XSS; XSS漏洞一直被评估为web漏洞中危害较大的漏 阅读全文
posted @ 2024-05-03 00:14 machacha 阅读(55) 评论(0) 推荐(1) 编辑
2024年5月2日
暴力破解(Pikachu)
摘要: 暴力破解(Pikachu靶场) Burpsuite4种攻击类型 Sinper(狙击手): 可以理解为一个一个爆破,也就是字典只能设置一个,然后用字典替换选择的参数,爆破完一个参数后再爆破另一个参数。 Battering ram(攻城槌) 字典只能设置一个,同时将所有参数都替换为字典内容遍历一遍。 P 阅读全文
posted @ 2024-05-02 09:10 machacha 阅读(98) 评论(2) 推荐(1) 编辑