09 2021 档案
摘要:找到上传点,先初步判断一下做了什么防御手段: 客户端检查 利用burp抓包改包,先上传一个jpg类型的木马,然后通过burp将其改为asp/php/jsp后缀名即可 服务端后缀黑名单 上传特殊可解析后缀 asp|asa|cer|cdx aspx|ascx|ashx|asax|asac php|php
阅读全文
摘要:WebGoat-Insecure Deserialization Insecure Deserialization 01 概念 本课程描述了什么是序列化,以及如何操纵它来执行不是开发人员最初意图的任务。 目标 1、用户应该对Java编程语言有基本的了解 2、用户将能够检测不安全的反序列化漏洞 3、用
阅读全文
