摘要：Level-1 查看网页源代码发现本关采取get方式传提参数，为反射型XSS漏洞。且get到的参数在h2标签处未作处理。 尝试将<script>alert(0)</script>当作参数传递。提示闯关成功。 分析后端源代码可看出，开发者未对传进来的值做任何处理后直接显示在屏幕上 level-2 第二 阅读全文

摘要：pass6 关 理解文件上传后缀大小写绕过方式 pass7-8 理解在后缀后加空格和点方式绕过 PS(不能在PC上直接修改，操作系统会直接过滤文件后面的点和空格）通过burpsuite重构数据包修改文件名 pass9: $file_ext = str_ireplace(‘::$DATA’, ”,$f 阅读全文

摘要：PS：环境基于upload-labs(21关版本） 1、PASS-01: 学习目的，了解文件上传前端验证原理。 解题思路：从上述代码看出，上传文件验证在客户端完成，符合规则后再上传至服务器。 解题思路：前端验证一般通过JavaScript语言实现， 思路一：在浏览器上禁用javascript goo 阅读全文

摘要：一、wanp环境(win2008) 1、安装系统插件 wamp2.5环境需要用到msvcr110.dll动态库，到微软官网下载vcredist_x64插件安装 官网： http://www.microsoft.com/zh-CN/download/details.aspx?id=30679 2、安装 阅读全文