随笔分类 -  web安全

摘要:HTTP请求走私简介 HPPT请求走私是一种干扰网站处理HTTP请求系列方式的技术,请求走私大多发生于前端服务器对客户端传入的数据理解不一致的情况。这是因为HTTP规范提供了两种不同的方法来指定请求的结束位置,即Content-Length和Transfer-Encoding标头。 分类 CLTE: 阅读全文
posted @ 2024-03-02 17:43 kalixcn 阅读(100) 评论(0) 推荐(0) 编辑
摘要:Web技术演化 1. 简单网站 静态页面 Web技术在最初阶段,网站的主要内容是静态的,大多站点托管在ISP上,由文字和图片组成,制作和表现形式也是以表格为主。 多媒体阶段 随着技术的不断发展,音频、视频、Flash等多媒体技术诞生了。 CGI阶段 CGI定义了Web服务器与外部应用程序之间的通信接 阅读全文
posted @ 2024-02-18 16:48 kalixcn 阅读(19) 评论(0) 推荐(0) 编辑
摘要:Web容器解析漏洞简介 Web容器解析漏洞会将其他类型的文件当作脚本语言的文件进行解析,执行其中的代码。一般,在利用解析漏洞时都要配合文件上传的功能。 1. Apache解析漏洞 在Apache1.x和2.x版本中,Apache可以识别多个文件扩展名。如果文件存在多个扩展名,Apache会从后向前开 阅读全文
posted @ 2024-02-02 17:29 kalixcn 阅读(62) 评论(0) 推荐(0) 编辑
摘要:中间件漏洞 IIS服务器漏洞 IIS文件上传漏洞 IIS6.0 PUT上传漏洞是比较经典的ISS漏洞,如果IIS开启了PUT上传方法,就可以利用此方法上传任意文件,因此,该漏洞危害极大。 漏洞产生原因 IIS6.0 PUT上传漏洞产生的原因 IIS Server在WEB服务扩展中开启了WebDAV 阅读全文
posted @ 2024-02-02 16:49 kalixcn 阅读(74) 评论(0) 推荐(0) 编辑
摘要:### HTTP基础认证暴力破解 挂上 BurpSuite 的代理,随便输个账号密码(比如: 账号aaa 密码 bbb)访问,查看 HTTP 响应报文: ![img](https://img2023.cnblogs.com/blog/3171137/202308/3171137-2023082115 阅读全文
posted @ 2023-08-21 15:54 kalixcn 阅读(45) 评论(0) 推荐(0) 编辑
摘要:防火墙 厂商 默认地址 用户名 密码 天融信 192.168.1.254 superman talent/talent@123 华为 192.168.0.1:8443 admin Huawei@123/Admin@123 网御星云一代防火墙 https://10.1.5.254:8889 admin 阅读全文
posted @ 2023-07-26 11:20 kalixcn 阅读(621) 评论(0) 推荐(0) 编辑