摘要:
文件上传漏洞原理: 通常是由于对上传的文件内容和类型没有进行严格过滤和审查,攻击者可以通过上传脚本、木马获得服务器的webshell权限。 文件上传本身没有问题,有问题的是上传的文件服务器将以哪种格式去执行。 一般情况下,攻击者可以通过上传脚本、木马、病毒、webshell,在知道上传文件路径的情况 阅读全文
摘要:
以下文章为自我学习总结。 内容涉及:自我总结、书籍参考(参考书籍为《白帽子讲web安全》《web安全全面解析》) 如有侵权,请联系sycamorext.163.com删除。 阅读全文
摘要:
文件包含漏洞原理:(php) 是指当服务器开启allow_url_include选项的时候,通过php某些特性函数、如include()、include_once()、require()、require_once(),使用url动态的去包含文件,此时如果对包含的文件没有进行过滤,就可能导致任意文件读 阅读全文
摘要:
xss(跨站脚本攻击) 原理:攻击者可以通过在页面中注入恶意链接或者脚本代码,当受害者访问时,脚本代码会在其浏览器中执行,这个时候,我们可以获取当前用户的cookie或者进行重定向等操作。 xss造成的原因是因为对用户插入的数据没有进行过滤,导致用户可以上传一些非法数据,对服务器数据进行盗取。 xs 阅读全文
摘要:
csrf(跨站请求伪造攻击) 利用受害者尚未失效的身份认证信息,诱骗其点击恶意链接或包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向服务器发送请求。 用户在关闭浏览器的时候,他的身份认证信息不会立刻失效。 用户在登录正常网站a的时候,同时打开了一个危险网站b,那么攻击者就可以通过危险网站b 阅读全文
摘要:
通过远程部署获取webshell并不属于代码层次的漏洞,而是属于配置性错误漏洞。 1.Tomcat tomcat是一个jsp/Servlet容器 端口号:8080 攻击方法: 默认口令、弱口令,爆破,tomcat5 默认有两个角色:tomcat和role1。其中账号both、tomcat、role1 阅读全文