摘要:
1.不安全的url重定向(跳转)原理及演示 场景演示 随便测试一下 点其他的: 点第三个会进行跳转,跳转到概述页面。 我们在url处试一下,传个对应的url进去,传过去后台会对它进行跳转。 正常情况下应该是跳转到自己的页面(第三个那样的) 跳转到了百度 我们也可以传一个自己的恶意站点的url进去。 阅读全文
摘要:
第九章 php反序列化、XXE、SSRF 1.php反序列化原理及演示 写一个文件 先把下面注释掉 访问一下 第一行字符串的值就是刚刚定义的那个对象序列化的结果。反序列化后可直接得到变量pikachu。 这个定义了一个对象,里面定义了一个变量,使用了一个魔法函数,当这个变量被销毁时,会自动执行下面这 阅读全文
摘要:
第八章 越权漏洞 1.越权漏洞原理及水平越权案例演示 一般出现在登录态的页面上 场景演示 测试一下,看一下等点击查看个人信息时提交了什么内容到后台 提交了一个get请求,把当前登录人的用户名传到了后台,后台把对应信息显示出来。 我们尝试改一个名字 显示出来 当前登录的人是lucy,但是在lucy的登 阅读全文