摘要:
web安全~文件包含总结 文章来自freebuf,作者总结的很好,所以拿来做笔记用!!! 0×01 文件包含简介 服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要 阅读全文
摘要:
何为模板注入? 模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码的分离,这大大提升了开发效率,良好的设计也使得代码重用变得更加容易。 但是模板引擎也拓宽了我们的攻击面。注入到模板中的代码可能会引发RCE或者XSS。 flask基础 在学习SSTI之前,先把flask的运作流程搞明白。 阅读全文
摘要:
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IP 在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间 阅读全文
摘要:
我们通常对数据库进行的增删插检操作,是针对数据库中的文件。mysql数据库中还有一些表(是view,只能做select操作)记录了现有表的meta data,比如某个column的名字,它的定义是什么等等。 1. 列出test数据库中所有的表名,类型(普通表还是view)和使用的引擎 select 阅读全文
摘要:
转载https://blog.csdn.net/m0_46898243/article/details/106244110 文章目录 0.前言 1.预备知识 1.1 什么是文件包含? 1.2 windows系统的小技巧 2.漏洞原理分析 2.1 源码分析 2.2 构造payload 2.2.1 设想 阅读全文