摘要:
一、漏洞介绍 CSRF(Cross-site request forgery)跨站请求伪造 攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。 二、应用场景 操作一般出 阅读全文
摘要:
一、漏洞介绍 XML: XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。HTML主要用于回显,XML主要用于传输。XXE: XXE漏洞全称XMLExternal Entit 阅读全文
摘要:
一、介绍 首先我们知道DNS是ip与域名的解析的服务,通过ip可以解析到对应的域名。DNSlog就是储存在DNS上的域名相关的信息,它记录着你对域名或者IP的访问信息,也就是类似于日志文件。 二、原理 首先了解一下多级域名的概念,我们知道因特网采用树状结构命名方法,按组织结构划分域是一个名字空间中一 阅读全文
摘要:
一、漏洞介绍 upload:文件上传 web应用提供上传功能,如图片、视频、文本文件等各种类型文件。用户可上传webshell,执行系统命令、读取敏感文件、拿到系统权限、控制服务器。 二、产生原因 未对用户上传的文件进行严格的过滤和限制。 三、漏洞危害 执行系统命令 读取敏感文件 拿到系统权限 控制 阅读全文