11 2018 档案
摘要:XSS(DOM)是一种基于DOM树的一种代码注入攻击方式,可以是反射型的,也可以是存储型的,所以它一直被划分第三种XSS 与前两种XSS相比,它最大的特点就是不与后台服务器交互,只是通过浏览器的DOM树解析产生 除了js,flash等脚本语言也有可能存在XSS漏洞 关于DOM,墙裂推荐《JavaSc
阅读全文
摘要:鸣谢(本文大部分内容均转载自): http://www.storysec.com/dvwa-file-upload.html 文件上传漏洞是指服务器在接收用户上传的文件的时候,没有严格地加以限制和过滤, 如果黑客上传了木马,也就是常说的“挂马”,进而拿到了webshell,就可以为所欲为了,嘿嘿嘿嘿
阅读全文
摘要:MEDIUM: 与LOW相比,将四个敏感字符串过滤掉了:"http://", "https://","../", "..\"" 本地文件包含: Payload1(相对路径包含): ?page=..\..\..\..\..\..\..\..\..\..\..\..\..\..\..\phpStudy\
阅读全文
摘要:LOW:<?ph 然后这是非常简单的命令执行漏洞(感觉现实根本不可能有这种东西、、、) payload: 1、windows下: 127.0.0.1&&net user 可以查看用户,然后可以创建用户,把用户添加到管理员组 2、linux下: 127.0.0.1&&cat /etc/shadow 可
阅读全文
