10 2024 档案

文件上传
摘要:检查:https://www.bugbountyhunter.com/guides/?type=fileuploads 检查:https://portswigger.net/web-security/file-upload 检查:https://hackerone.com/reports/50664 阅读全文
posted @ 2024-10-25 20:48 sec875 阅读(54) 评论(0) 推荐(0) 编辑
CORS 一把梭
摘要:CORS允许恶意域名(.com.cn)来访问 (/api/self) 端点的敏感数据 反之亦然 阅读全文
posted @ 2024-10-13 04:30 sec875 阅读(13) 评论(0) 推荐(0) 编辑
CSRF
摘要:检查bp靶场 无法手动设置或控制 XMLhttprequest 中的 Origin: 标头;origin: 是自动设置的 浏览器自动携带cookie;http基本认证;基于证书的认证;Ajax 请求需要 cors ,表单提交则不需要 <img src="https://vulnerable-webs 阅读全文
posted @ 2024-10-09 20:55 sec875 阅读(54) 评论(0) 推荐(0) 编辑
bp 开放重定向
摘要:检查:https://www.bugbountyhunter.com/vulnerability/?type=open_redirect 检查:https://portswigger.net/web-security/ssrf#bypassing-ssrf-filters-via-open-redi 阅读全文
posted @ 2024-10-08 23:04 sec875 阅读(22) 评论(0) 推荐(0) 编辑
文章博客
摘要:通过滥用 SSL/TLS 绕过 Web 应用程序防火墙 https://blog.pwn.al/waf/bypass/ssl/2018/07/02/web-application-firewall-bypass.html 使用 Active Directory 中的 ACL 提升权限 https:/ 阅读全文
posted @ 2024-10-05 15:55 sec875 阅读(6) 评论(0) 推荐(0) 编辑
Debuggers 1012:Introductory GDB
摘要:编程语言心法参考:http://www.yinwang.org/blog-cn/2017/07/06/master-pl 英语阅读速成:http://www.yinwang.org/blog-cn/2018/11/23/grammar 记住:晦涩难懂的示例代码直接丢GPT 希望你也搞一个证书,纪念纪 阅读全文
posted @ 2024-10-04 05:24 sec875 阅读(20) 评论(0) 推荐(0) 编辑
BP - 点击劫持 Clickjacking (UI redressing)
摘要:What is clickjacking? 点击劫持是一种基于界面的攻击,通过点击诱饵网站中的其他内容,诱骗用户点击隐藏网站上的可操作内容。 iframe 基于会话的 CSRF 令牌无法缓解点击劫持攻击,因为目标会话是通过从真实网站加载的内容建立的,并且所有请求都在域内发生。CSRF 令牌被放入请求 阅读全文
posted @ 2024-10-02 22:24 sec875 阅读(54) 评论(0) 推荐(0) 编辑
python - 合理的入门编程语言
摘要:编程语言心法参考:http://www.yinwang.org/blog-cn/2017/07/06/master-pl 英语阅读速成:http://www.yinwang.org/blog-cn/2018/11/23/grammar 记住:晦涩难懂的示例代码直接丢GPT 预期值:知道什么东西(功能 阅读全文
posted @ 2024-10-01 15:37 sec875 阅读(25) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示