07 2023 档案
摘要:upload-labs是一个使用php语言编写的、专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21关,每一关都包含着不同上传方式。 以下是Upload-labs文件上传靶场中包含的文件上传漏洞类型: 注:Upload-labs文件上传靶场的搭建
阅读全文
摘要:漏洞简介 Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 在Apache Shiro 1.1.0以前的版本中,shiro 进行权限验证前未对url 做标准化处理,攻击者可以构造/、//、/./、/…/ 等绕过权限
阅读全文
摘要:漏洞简介 Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 版本信息:Apache Shiro <= 1.2.4 漏洞名称:Apache Shiro 1.2.4 反序列化漏洞,即shiro-550反序列化漏洞。 漏
阅读全文
摘要:系统版本:Ubuntu20.04 安装java11 sudo apt install openjdk-11-jdk 输入java -version验证是否安装成功 java -version 安装java8 sudo apt install openjdk-8-jdk 此时输入java -versi
阅读全文
摘要:漏洞简介 Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 在Apache Shiro 1.5.2以前的版本中,在使用Spring动态控制器时,攻击者通过构造…;这样的跳转,可以绕过Shiro中对目录的权限限制。
阅读全文
摘要:必须建立一套自己开发的web安全漏洞环境(即web安全靶场),可以暂时先模仿vulhub、vulfocus等,基于Docker、docker-compose技术进行构建。 后续可考虑基于K8S或OpenStack等底层技术进行构建,同时糅合web常规漏洞靶场——sqlilab、xss、pikaqu等
阅读全文
摘要:vulfocus官方网址:https://fofapro.github.io/vulfocus/ vulfocus源码下载:https://github.com/fofapro/vulfocus vulfocus线上靶场练习 vulfocus线上靶场地址:https://vulfocus.cn/#/
阅读全文
摘要:什么是API? API是应用程序编程接口(Application Programming Interface)的缩写,它是用于不同软件应用程序之间进行通信和交互的一组规则和约定。API定义了不同软件组件之间的通信方式和数据格式,允许它们相互访问和交换数据,以实现特定的功能或服务。 API可以用于不同
阅读全文
