摘要:
简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 在没有关闭相关网页的情况下,点击其他人发来的CSRF链接,利用客户端的cooki 阅读全文
摘要:
命令注入 是指程序中有调用系统命令的部分,例如输入ip,程序调用系统命令ping这个ip。如果在ip后面加一个&&、&、|、||命令拼接符号再跟上自己需要执行的系统命令 在ping设备的输入框中ip后面加上&ifconfig,或者其他命令 和文件上传漏洞对比 相同点 相同的地方是都是根据程序调用系统 阅读全文
摘要:
前期准备 首先设置好burp的代理端口,并设置好浏览器的代理为相同的ip和端口 安装证书 在浏览器中输入开启的IP:端口下载der证书,点击右侧的CA下载证书 或者用下面这种方式制作一个CA证书 在谷歌浏览器设置中 -》管理证书 -》受信任的根证书颁发机构 -》 导入时格式选择*,找到der文件 添 阅读全文