摘要:
漏洞原理 HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,<title>与</title>之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标 阅读全文
摘要:
漏洞原理: CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任 阅读全文
摘要:
漏洞原理 由于开发人员编写源码,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似system(),eval(),exec()等函数是该漏洞攻击成功的最主要原因。 命令执行分隔符: windows:&& || & 阅读全文
摘要:
工具:burpsuite 1.low 级别 设置代理,burp拦截,发送到intruder进行暴力破解 添加password位置,攻击类型sniper模式 设置好payload,准备好字典,开始攻击 根据响应内容长度得到密码为password 2. medium 级别 medium级别只是对输入的密 阅读全文