07 2023 档案
摘要:文件包含 当我们在遇到文件上传并且有白名单校验的时候,利用文件包含可以getshell(brupsuit)上传文件,该文 件后缀名(php),插入一句话木马,用菜刀连接 原理 程序员通常会把可重复使用函数或语句写到单个文件中,在使用某个功能时,直接调用此文件,不用再编写调用文件的过程称为包含。 PH
阅读全文
摘要:## 远程代码注入漏洞 **原理** 攻击者可利用代码注入漏洞执行任意代码,来操作服务器 **危害** 执行任意代码,来操作服务器 操作数据库,插入恶意数据,可能获取 系统权限 攻击修改系统配置,修改网络配置,可能对 服务器及网络造成影响 可以进一步对网络渗透,由于代码注入攻击多半可获取系统权限,对
阅读全文
摘要:Csrf跨站请求伪造(客户端发起) **原理:** 利用已登录的用户身份,以用户的名义发送恶意请求,完成非法操作。 当用户第一次发请GET请求时后台会给前端发送一个加密字符串,下次用户发请POST请求时就需要带这这个加密字符串发送 CSRF的使用:在setting.py中间件中的django.mid
阅读全文
摘要:服务器端请求伪造 **原理:** 服务端代理用户对用户输入的URL无条件发起请求,并将response返回给用户。用户可以填写内网的任意IP以及端口,用来进行内网嗅探; 一般情况下,SSRF攻击的目标是从外网无法访问的内部系统 危害大,比较常用,杀伤力非常大,和log4j2差不多 是一种由攻击者构造
阅读全文
摘要:又叫CSS(Cross Site Script),跨站脚本攻击 **原理:** 指的是恶意攻击者往Web页面里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而达到恶意的特殊目的 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用
阅读全文
摘要:Xss漏洞(跨站脚本攻击) **原理** 通过网页插入恶意脚本,如前端的HTML和JavaScript。当用户浏览网页时,浏览器执行用户输入的JS代码,实现控制用户浏览器 **危害** 获取用户的cookie,利用cookie盗取用户对该网站的操作权限; 获取用户联系人列表,利用被攻击者的身份向特定
阅读全文
