随笔分类 - 漏洞详解
关于sql注入的练手(包含Flask之session伪造)也就是一种cookies注入(比我以前做的高级一点)
摘要:前言: 这学期不知道怎么回事,每学期的工程实训课程都是写一个,程序系统的,这学期变成了网络攻防演练,可能是想起来是网安专业了吧,说实话,本人不是很懂网安知识,不是否认学校,还是有很多大佬的。 基础知识:(详细请看我之前的博客) 开局让我们回顾一下sql注入原理吧 sql是一个sql语句,同时$id是
CSRF(Steam的链接不能随便点)
摘要:引言: 相信玩steam且库存有值钱东西的玩家都见过有一堆陌生人加你,并且给你发送链接的吧 你好奇地点击后,发现你库存少了,这是为什么? 有可能就是攻击者利用了csrf 漏洞详解 CSRF 漏洞原理: 攻击者会冒充或利用用户本人对web服务器发送请求,然而web服务器无法识别该请求是否为用户本人所发
跨站脚本攻击漏洞
摘要:漏洞讲解 漏洞运用过程: 攻击者会通过xss漏洞在网站注入恶意代码,使得用户在访问网页时,恶意代码执行,从而达到攻击的目的 漏洞原理: 程序对输入和输出的控制不够严格,导致恶意代码输入后,在前端浏览时被当作有效代码进行解析,从而产生各种危害。 漏洞危害: 1)网站中弹窗,影响用户体验和利益 2)网络
文件包含漏洞
摘要:漏洞讲解 漏洞过程解析 在使用include等包含函数时,当对包含文件的来源过滤不严格,那么会包含到恶意文件,攻击者将会通过这个恶意文件来到达他想要达到的相应目的。 引用一句网上看到的话:文件包含漏洞和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者
RCE代码执行漏和命令执行漏洞
摘要:前置知识: 漏洞检测: 在了解漏洞概念前,应该先知道一下这个漏洞如何检测的,我们应该或多或少听过白盒测试(白盒),黑盒测试(黑盒)。 白盒测试: 白盒测试是对源代码和内部结构的测试,测试人员是可以知道内部的逻辑和结构的,差不多就是代码审计。 黑盒测试: 黑盒测试是对功能需求的测试,测试人员不知道系统