- 博客(19)
- 收藏
- 关注
RSS订阅原创 SSRF服务端请求伪造
SSRF(Server-Side Request Forgery:服务器端请求伪造)一种由攻击者构造形成由服务端发起请求的一个安全漏洞;一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。
2025-10-06 15:14:08
755
原创 CSRF跨站请求伪造
检测:黑盒手工利用测试,白盒看代码检验(有无token,来源检验等)生成:BurpSuite->Engagement tools->Generate CSRF Poc利用:将文件防止自己的站点下,诱使受害者访问(或配合XSS触发访问)
2025-10-06 11:17:11
624
原创 xss跨站
漏洞原理接受输入数据,输出显示数据后解析执行-数据交互的地方get反馈与浏览富文本编辑器各类标签插入和自定义-数据输出的地方用户资料数据输出评论,留言等关键词、标签、说明文件上传常用标签基础类型。
2025-10-05 20:15:11
923
原创 抓包技术&全局协议&封包监听&网卡模式&APP&小程序&PC应用
当启动安卓模拟器中的游戏软件“雷霆传奇”时,burpsuite并不能抓取到游戏内的数据包,因为应用程序内使用的不是http(s)协议。首先打开科来,运行游戏时抓取。在 进程浏览器->MEmuHeadless.exe中发现数据包和字节数在大量变动,确定这就是游戏的数据包,获得ip地址47.96.15.167。再打开wireshark,同样的抓取,在上方输入命令ip.addr == 47.96.15.167。启动微信小程序欢乐斗地主,用科来抓包情况如下,在进程浏览器中->游戏类,发现欢乐斗地主这一选项。
2025-09-30 11:33:09
234
原创 抓包技术&HTTPS协议&APP&小程序&PC应用&WEB转发&联动转发
1.charles(茶杯)证书安装charles->help->SSL Proxying->Save Charles Root Certificate->保存到桌面2.fiddler 证书tools->options->https->actions->export root certificate to desktop3.burpsuite证书proxy->proxy settings->import/export CA certificate->certificate in DER format->bur
2025-09-29 22:49:21
294
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人