摘要:
一、基础知识 XML XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。简单来说,XML是数据的传输工具,与HTML语言不同,HTML用来显示数据,而 XML用来传输和存储数据 XML文档结构包括: XML声明 DTD文档 阅读全文
摘要:
一、SSRF介绍 SSRF(Server-Side Request Forgery,服务器端请求伪造):可以通过伪造服务器端发起的请求,从而获取客户端所不能得到的数据。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系 阅读全文
摘要: 
一、漏洞原理 CSRF(Cross-site request forgery,跨站请求伪造)也被称为One Client Attack或者Session Riding,通常缩写为CSRF和XSRF,是一种对网站的恶意利用。是指当受害者访问带有攻击代码的页面时,利用受害者的身份(cookie)想服务器 阅读全文
一、漏洞原理 CSRF(Cross-site request forgery,跨站请求伪造)也被称为One Client Attack或者Session Riding,通常缩写为CSRF和XSRF,是一种对网站的恶意利用。是指当受害者访问带有攻击代码的页面时,利用受害者的身份(cookie)想服务器 阅读全文
摘要:
xss攻击是一种代码注入攻击,通过向网页写入恶意的JavaScript代码,在用户渲染时执行 JS 代码时,盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害 该漏洞本质上就是因为网页没有对恶意代码进行过滤,从而导致恶意代码的执行 危害 网络钓鱼,包括获取各类用户账号; 窃取用户cook 阅读全文
摘要:
参考文章: https://blog.csdn.net/weixin_57048716/article/details/127931672?spm=1001.2014.3001.5501 //懒得搬过来了,就这样将就着看吧 ╮(╯▽╰)╭ 阅读全文
摘要: 
一、beef简介 BeEF全称(The Browser Exploitation Framework)是一种专注于Web浏览器的渗透测试工具,,通过XSS漏洞配合JS脚本和Metasploit进行渗透; BeEF是基于Ruby语言编写的,并且支持图形化界面,如果不是在kali上安装beef,需要用r 阅读全文
一、beef简介 BeEF全称(The Browser Exploitation Framework)是一种专注于Web浏览器的渗透测试工具,,通过XSS漏洞配合JS脚本和Metasploit进行渗透; BeEF是基于Ruby语言编写的,并且支持图形化界面,如果不是在kali上安装beef,需要用r 阅读全文
摘要: 
//java搭建的网站不存在中间件解析漏洞 #中间件解析漏洞: IIS 1.IIS6.0文件解析漏洞 文件解析:文件名改为a.asp;.xxx.jpg或者a.asp;.jpg 目录解析:将bp数据包中的url路径image/a.png改为image.asp/a.png或者image/shell.as 阅读全文
//java搭建的网站不存在中间件解析漏洞 #中间件解析漏洞: IIS 1.IIS6.0文件解析漏洞 文件解析:文件名改为a.asp;.xxx.jpg或者a.asp;.jpg 目录解析:将bp数据包中的url路径image/a.png改为image.asp/a.png或者image/shell.as 阅读全文
摘要: 
##利用思路: 常规类:扫描获取上传、会员中心上传、后台系统上传、各种途径上传 CMS类:已知CMS源码 编译器类:ckeditor、fckeditor、kindeditor、xxxxeditor 其他类/CVE:代码审计、平台/第三方应用 ##常见检测方法: ##1.前端JS检测 1,使用Java 阅读全文
##利用思路: 常规类:扫描获取上传、会员中心上传、后台系统上传、各种途径上传 CMS类:已知CMS源码 编译器类:ckeditor、fckeditor、kindeditor、xxxxeditor 其他类/CVE:代码审计、平台/第三方应用 ##常见检测方法: ##1.前端JS检测 1,使用Java 阅读全文
摘要:
1.联合查询 参考sql注入基础部分: sql注入基础(一) 2.伪静态注入 伪静态判断方法: (1)删除后缀.html后页面仍然正常,可能是伪静态页面 (2)使用F12打开控制台,输入javascript:alert(document.lastModified) //如果返回的时间是当前的时间,那 阅读全文