摘要:
alert(document.cookie) 参考:http://www.cnblogs.com/littledu/archive/2011/05/08/2040298.html 阅读全文
摘要:
0x01 Brief Description XXE(XML External Entity) XML外部实体攻击也是常见的web漏洞之一,在学习这个漏洞之前有必要了解一下xml,可以参考w3c的基本介绍,http://www.w3school.com.cn/x.asp xml(Extensible 阅读全文
摘要:
0x01 Brief Description 作为nosql(not only sql)数据库的一种,mongodb很强大,很多企业也在用到。相对于sql数据库,nosql数据库有以下优点:简单便捷、方便拓展、更好的性能 0x02 Produce the vulnerability 漏洞环境搭建: 阅读全文
摘要:
0x01 Brief Description SSRF(Server-Side Request Forgery:服务器端请求伪造) 见名知意,是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到 阅读全文
摘要:
0x01 Brief Description csrf 跨站伪造请求,请求伪造的一种,是由客户端即用户浏览器发起的一种伪造攻击。攻击的本质是请求可以被预测的到。 在了解csrf攻击之前,需要了解浏览器的cookie策略,浏览器所持有的Cookie分为两种,一种是存放在浏览器进程内存中的session 阅读全文
摘要:
自己最早接触安全是在大学的时候,自己是网络工程专业的,但是当时只是学习一些编程语言像是c++/java等,也有一门网络安全的课程,但讲课的老师太无聊了,也是自己网上看一些资料,看一些黑客基线、电脑报这些倒觉得挺有意思的,懵懵懂懂的用到了awvs扫描器扫到了我们学校上网收费系统的后台的弱口令,之后就开 阅读全文
摘要:
前言 最早接触安全也是从xss攻击和sql注入攻击开始的。和xss一样屡居OWASPtop10 前三名的漏洞,sqli(sql Injection)sql注入攻击也是web安全中影响较大和影响范围较广的漏洞之一。 0x01 原理介绍 sql注入攻击作为注入攻击的一种,不同于xss的html和js代码 阅读全文