了了青山见

2023年8月14日

__wakeup()魔术方法绕过（CVE-2016-7124）

摘要： # __wakeup()魔术方法绕过（CVE-2016-7124） ## 漏洞简介在php反序列化数据过程中，如果类中存在__wakeup方法，调用 unserilize() 方法前则先调用__wakeup方法，当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行阅读全文

posted @ 2023-08-14 17:18 了了青山见阅读(302) 评论(0) 推荐(0) 编辑

web攻防--PHP反序列化

摘要： # web攻防--PHP反序列化 ## 漏洞简介序列化：把对象转换为字节序列的过程，即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件，在网络传输过程中，可以是字节或是XML等格式。反序列化：把字节序列恢复为对象的过程，即把可以存储或传输的数据转换为对象的过程。阅读全文

posted @ 2023-08-14 17:16 了了青山见阅读(57) 评论(0) 推荐(0) 编辑

2023年8月13日

Web通用漏洞--文件上传

摘要： # Web通用漏洞--文件上传 ## 概述文件上传安全指的是攻击者通过利用上传实现后门的写入连接后门进行权限控制的安全问题，对于如何确保这类安全问题，一般会从原生态功能中的文件内容，文件后缀，文件类型等方面判断，但是漏洞可能不仅在本身的代码验证逻辑中出现安全问题，也会在语言版本，语言函数，中间件，阅读全文

posted @ 2023-08-13 16:46 了了青山见阅读(59) 评论(0) 推荐(0) 编辑

ctfshow--web入门--XXE

摘要： # ctfshow--web入门--XXE ## web373 源码 ```php loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); //解析xml文档 $creds = simplexml_import_dom($dom); $ctfshow = 阅读全文

posted @ 2023-08-13 16:43 了了青山见阅读(183) 评论(0) 推荐(0) 编辑

Web攻防--xxe实体注入

摘要： # web攻防--xxe实体注入 ## 漏洞简介 XML 外部实体注入（也称为 XXE）是一种 Web 安全漏洞，允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件，并与应用程序本身可以访问的任何后端或外部系统进行交互。在某些情况下，攻击者可以利用 X 阅读全文

posted @ 2023-08-13 16:42 了了青山见阅读(110) 评论(0) 推荐(0) 编辑

Web通用漏洞--RCE

摘要： # Web通用漏洞--RCE ## 漏洞简介 RCE远程代码/命令执行漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。 RCE漏洞也分为代码执行漏洞和命令执行漏洞，所谓代码执行即通过漏洞点注入参数而使用源代码进行相应的操作，所谓的命令执行就是通过漏洞点注入参数使用源阅读全文

posted @ 2023-08-13 16:41 了了青山见阅读(96) 评论(0) 推荐(0) 编辑

Web通用漏洞--SSRF

摘要： # Web通用漏洞--SSRF ## 漏洞简介 SSRF(Server-Side Request Forgery:服务器端请求伪造) 一种由攻击者构造形成由服务端发起请求的一个安全漏洞; 一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的，所以它能够请求到与它相连而阅读全文

posted @ 2023-08-13 16:41 了了青山见阅读(35) 评论(0) 推荐(0) 编辑

Web通用漏洞--CSRF

摘要： # Web通用漏洞--CSRF ## 漏洞简介 CSRF（Cross Site Request Forgery, 跨站请求伪造/客户端请求伪造），即通过伪造访问数据包并制作成网页的形式，使受害者访问伪造网页，同时触发伪造的请求而达到攻击效果的一种手段。 ![在这里插入图片描述](https://im 阅读全文

posted @ 2023-08-13 16:40 了了青山见阅读(25) 评论(0) 推荐(0) 编辑

XSS--labs通关记录

摘要： # XSS--labs通关记录 ## level 1(无过滤) 查看网页源代码 ```html 欢迎来到level1 欢迎来到level1 欢迎用户test payload的长度:4 ``` 这一关没有任何过滤，直接传递name参数即可 payload： ``` ?name= ``` ## leve 阅读全文

posted @ 2023-08-13 16:39 了了青山见阅读(46) 评论(0) 推荐(0) 编辑

Web通用漏洞--XSS

摘要： # Web通用漏洞--XSS ## XSS原理 XSS称为跨站脚本攻击，这种漏洞利用通常是被动性攻击，即需要受害者做出某些行为来配合攻击行为，才能达到攻击效果 XSS的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以阅读全文

posted @ 2023-08-13 16:38 了了青山见阅读(274) 评论(0) 推荐(0) 编辑

公告