上一页 1 ··· 362 363 364 365 366 367 368 369 370 ··· 404 下一页
2017年3月26日
Web Hacking 101 中文版 十一、SQL 注入
摘要: 十一、SQL 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 SQL 注入,或者 SQLi 允许黑客将 SQL 语句注入到目标中并访问它们的数据库。它的潜力是无穷的,通常使其成为高回报的漏洞,例如,攻击者能够执行所有或一些 CURD 操作(创建、读取 阅读全文
posted @ 2017-03-26 21:43 绝不原创的飞龙 阅读(2) 评论(0) 推荐(0) 编辑
Web Hacking 101 中文版 十五、代码执行
摘要: 十五、代码执行 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 远程代码执行是指注入由漏洞应用解释和执行的代码。这通常由用户提交输入,应用使用它而没有任何类型的处理或验证而导致。 看一下这行代码: $var = $_GET['page']; eval($v 阅读全文
posted @ 2017-03-26 15:20 绝不原创的飞龙 阅读(2) 评论(0) 推荐(0) 编辑
Web Hacking 101 中文版 十四、XML 外部实体注入(二)
摘要: 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 示例 1. Google 的读取访问 难度:中 URL:google.com/gadgets/directory?synd=toolbar 报告链接:https://blog.detectify.com/2014/ 阅读全文
posted @ 2017-03-26 12:23 绝不原创的飞龙 阅读(7) 评论(0) 推荐(0) 编辑
2017年3月25日
Web Hacking 101 中文版 十四、XML 外部实体注入(一)
摘要: 十四、XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 阅读全文
posted @ 2017-03-25 20:30 绝不原创的飞龙 阅读(3) 评论(0) 推荐(0) 编辑
2017年3月24日
Web Hacking 101 中文版 十三、子域劫持
摘要: 十三、子域劫持 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 子域控制就真的是听上去那样,它是一种场景,恶意用户能够代表合法站点来申请一个子域。总之,这一类型的漏洞涉及站点为子域创建 DNS 记录,例如,Heroku(主机商),并且从未申请过该子域。 e 阅读全文
posted @ 2017-03-24 18:14 绝不原创的飞龙 阅读(4) 评论(0) 推荐(0) 编辑
Web Hacking 101 中文版 十二、开放重定向漏洞
摘要: 十二、开放重定向漏洞 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 根据 OWASP,开放重定向出现在应用接受参数并将用户重定向到该参数值,并且没有对该值进行任何校验的时候。 这个漏洞用于钓鱼攻击,便于让用户无意中浏览恶意站点,滥用给定站点的信任并将用户 阅读全文
posted @ 2017-03-24 16:07 绝不原创的飞龙 阅读(6) 评论(0) 推荐(0) 编辑
2017年3月23日
Web Hacking 101 中文版 八、跨站请求伪造
摘要: 八、跨站请求伪造 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 跨站请求伪造,或 CSRF 攻击,在恶意网站、电子邮件、即使消息、应用以及其它,使用户的 Web 浏览器执行其它站点上的一些操作,并且用户已经授权或登录了该站点时发生。这通常会在用户不知道操 阅读全文
posted @ 2017-03-23 14:25 绝不原创的飞龙 阅读(4) 评论(0) 推荐(0) 编辑
Web Hacking 101 中文版 七、CRLF 注入
摘要: 七、CRLF 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 CRLF 注入是一类漏洞,在用户设法向应用插入 CRLF 时出现。在多种互联网协议中,包括 HTML,CRLF 字符表示了行的末尾,通常表示为\r\n,编码后是%0D%0A。在和 HTTP 请求 阅读全文
posted @ 2017-03-23 10:25 绝不原创的飞龙 阅读(6) 评论(0) 推荐(0) 编辑
2017年3月18日
Web Hacking 101 中文版 六、HTTP 参数污染
摘要: 六、HTTP 参数污染 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 HTTP 参数污染,或者 HPP,在网站接受用户输入,将其用于生成发往其它系统的 HTTP 请求,并且不校验用户输出的时候发生。它以两种方式产生,通过服务器(后端)或者通过客户端。 在 阅读全文
posted @ 2017-03-18 16:51 绝不原创的飞龙 阅读(7) 评论(0) 推荐(0) 编辑
某道Pwn(格式化字符串漏洞)
摘要: 格式化字符串漏洞近几年出现频率少了,但是一些 CTF 中还有涉及,就当玩玩好了。 首先看这一段代码,什么比赛的题我忘了: #include <stdio.h> int main(void) { int flag = 0; int *p = &flag; char a[100]; scanf("%s" 阅读全文
posted @ 2017-03-18 14:14 绝不原创的飞龙 阅读(40) 评论(0) 推荐(0) 编辑
上一页 1 ··· 362 363 364 365 366 367 368 369 370 ··· 404 下一页