随笔分类 - 漏洞分析
漏洞环境实战分析及常见漏洞调试
摘要:0x00 原理分析 log4j的介绍: log4j是java打印输出日志的一个API,只要引入了log4j的jar包或者是在xml配置文件内配置好log4j即可输入java运行时产生的日志内容,一般用于记录网站的日志信息,比如用户登录、修改用户信息等sql查询操作。列如,在下图中,启动web服务,在
阅读全文
摘要:0x00 原理分析 存储型XSS:用户在浏览器传入的数据未做校验,导致一些恶意的前端代码被插入至数据库中,前端再次读取数据时,数据被当成前端代码,或与前端代码拼接并执行。 0x01 效果演示 通过添加操作添加一个用户名为<h1>11</h1>的用户 数据库存储其用户名为<h1>11</h1> 插入弹
阅读全文
