随笔分类 - 网络安全学习笔记-03
补充各种不知道的知识
摘要:eg1: @app.route('/getUrl', methods=['GET', 'POST']) def getUrl(): url = request.args.get("url") host = parse.urlparse(url).hostname #解析主机名 if host ==
阅读全文
摘要:目录: RCE: RCE RCE:远程命令注入 一些常见考法: Bash盲注: import time import requests url="http://51934713-a8a8-4fd7-bef6-8876cee55fdf.node4.buuoj.cn:81/" result = "" f
阅读全文
摘要:目录: SSTL模块注入 主机安全 XXE SSTL模块注入 SSTI:python-flask模块注入 原理: 1、flask模块的渲染方法有render_template和render_template_string两种。render_template()是用来渲染一个指定的文件的。使用如下re
阅读全文
摘要:目录 目录穿越 任意文件读取和下载漏洞 敏感目录和文件 sql注入之堆叠查询 命令执行漏洞的一些绕过方式 UDF提权 RCE CC攻击 Cookie和session机制 目录穿越 原理: 目录穿越(也被称为目录遍历/directory traversal/path traversal)是通过使用 .
阅读全文
