摘要:
本节注重代码分析,熟悉javaweb开发结构,掌握javaweb代码审计流程,其次才是相关漏洞解释(因前期漏洞原理已基本完毕),通过本节需掌握相关代码路径,结果,框架 文件上传配合目录遍历 覆盖文件自定义文件存储地址-基于用户名存储问题 代码解析及框架源码 第一关: payload:../x 将文件 阅读全文
摘要:
通过前期的WEB漏洞的学习,掌握了大部分的安全漏洞的原理及利用,但是在各种脚本语言开发环境的差异下,存在新的安全问题,脚本语言类型PHP,JAVA,Python等主流开发框架会有所差异 SQL-injection 防御SQL注入,其实就是session,参数绑定,存储过程这样的注入 //利用sess 阅读全文
摘要:
XML被设计为传输和存储数据,XML文档结构包括XML声明,DTD文档类型定义,文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,既XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XM 阅读全文