摘要:
介绍XXE漏洞 XML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是-种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)文档元素。 常见的XML 阅读全文
posted @ 2020-09-21 22:10
coderge
阅读(2523)
评论(0)
推荐(1)
摘要:
介绍逻辑漏洞 逻辑漏洞就是指攻击者利用业务的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改、越权访问、密码找回、交易支付金额等功能处。其中越权访问又有水平越权和垂直越权两种,如下所示。 水平越权:相同级别(权限)的用户或者同一角色中不同的用户之间,可以越权访问、修改或者删除其他用户信息 阅读全文
posted @ 2020-09-21 19:50
coderge
阅读(5607)
评论(0)
推荐(0)
摘要:
应用程序有时需要调用一些执行系统命令的函数,如在PHP中,使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。 命 阅读全文
posted @ 2020-09-21 19:05
coderge
阅读(3372)
评论(0)
推荐(0)
摘要:
暴力破解的产生是由于服务器端没有做限制,导致攻击者可以通过暴力的手段破解所需信息,如用户名、密码、验证码等。暴力破解需要一个庞大的字典, 如4位数字的验证码,那么暴力破解的范围就是0000 ~ 9999,暴力破解的关键在于字典小。 Burp Suite进行暴力破解攻击 暴力破解攻击的测试地址为htt 阅读全文
posted @ 2020-09-21 18:43
coderge
阅读(6)
评论(0)
推荐(0)
摘要:
在现代互联网的Web应用程序中,上传文件是一 种常见的功能,因为它有助于提高业务效率,比如企业的OA系统,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,Web应用受到攻击的风险就越大,如果Web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传 阅读全文
posted @ 2020-09-21 16:39
coderge
阅读(15266)
评论(0)
推荐(1)
浙公网安备 33010602011771号