摘要：1.RCE(remote command/code execute)概述 RCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。 远程系统命令执行 一般出现这种漏洞，是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检测 阅读全文

摘要：一.http header 注入 有些时候，后台开发人员为了验证客户端头信息(比如常用的cookie验证)或者通过http header头信息获取客户端的一些信息，比如useragent、accept字段等等。会对客户端的http header信息进行获取并使用SQL进行处理，如果此时没有足够的安全 阅读全文

摘要：一.概述 数据库注入漏洞,主要是开发人员在构建代码时, 没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一-种漏洞。 在owasp发布的top10排行榜里，注入漏洞一直是危害排名第一的漏洞，其中注入漏洞里面首当其冲 阅读全文

摘要：CSRF，中文名为跨站请求伪造。在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接)，然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击也就完成了。所以CSRF攻击也被称为"one click"攻击。 很多人搞不清楚CSRF的概念，甚至有时候会将其和XSS混淆,更有甚者会将其 阅读全文

摘要：xss后台的搭建 1 打开pikachu找到管理工具xss后台 2.如果没设置密码需要打开xampp文件夹再到htdocs到文件夹再到pikachu文件夹和pkxss文件夹和inc文件夹。打开config.inc.php这里我将密码的root改成了空。 3. 点击xss后台看到下面的界面就是成功了 阅读全文