【漏洞学习——SSRF】QQ空间某处SSRF

最新推荐文章于 2025-10-24 12:58:17 发布
原创 最新推荐文章于 2025-10-24 12:58:17 发布 · 602 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了QZone中一个JS文件请求导致的安全漏洞,涉及URL信息获取接口被恶意利用的问题,并提出过滤来源地址作为主要的修复方案。
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
安全攻防基础以及各种漏洞
weixin_54626591的博客
08-31 1584
安全攻防基础以及各种漏洞
SSRF(服务端请求伪造)
HoYim
04-11 501
SSRF (Server-side Request Forge, 服务端请求伪造) 1、概念: 它是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。 漏洞产生由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议等做过滤和限制。比如从指定URL地址获取...
漏洞学习——SSRF】腾讯某处SSRF漏洞(非常好的利用点)附利用脚本
Fly_鹏程万里
02-22 9235
漏洞细节 ## 1. 描述 本文章将概述一些经典的SSRF漏洞利用原理,从Fuzz扫描开放的服务到漏洞的自动化利用,刚好腾讯的这个漏洞点,非常适合做为案例来演示。### 1.1 漏洞信息 > 腾讯微博应用  > http://share.v.t.qq.com > SSRF利用点,参数: url > http://share.v.t.qq.com/index.php?c=s...
web 渗透 ——SSRF 漏洞详解:覆盖漏洞成因、利用方式,附防御全方案!(非常详细,附工具包以及学习资源包)
最新发布
zz96405784848的博客
10-24 802
SSRF(服务器端请求伪造)漏洞是指攻击者利用服务器发起恶意请求的安全漏洞。其成因是服务器未对用户提供的URL进行严格过滤,导致攻击者可通过服务器作为跳板访问内网资源或发起攻击。与CSRF不同,SSRF利用的是服务器对URL的信任问题。攻击方式包括端口扫描、应用程序攻击、Web应用指纹识别等。常见于远程资源请求、数据库功能、邮件收取等场景。防范措施包括对URL进行严格校验和限制访问范围。
QQ空间官方账号被黑产利用漏洞分析
mozhe_的博客
06-11 3768
原文地址:https://mozhe.cn/news/detail/3332011年,Facebook推出了默认人脸识别功能实现自动识别圈人功能,2013年,Instagram推出名称为“你的照片”的圈人功能。基本都是用户利用这个功能在照片中圈出好友,并通过标签直接找到该好友的所有照片。圈人可以让照片成为找人的最佳途径。在2013年,QQ空间也推出了圈人功能,在他人对空间说说中,找到要圈人的照片,...
QQ空间疑似的漏洞?!
weixin_33713707的博客
08-02 207
在测试IE8浏览器的时候.被朋友轰到了QQ空间里面. 只知道: 1.IE8会使大部份的网站的框架破坏. 解决这个方法就是选上"模仿IE7"即可 2.在进行IE的COOKIE进行测试的时候.也就是这时进入了QQ空间.却能够.... 不多说:看图.我很晕啊...这绝不是PS出来..!!!! 呵呵.出现了这个哦. 然后.对另一个朋友的QQ进行测试的时候.顺便点...
QQ利用KEY漏洞上号登录空间邮箱网盘群管等-详细讲解
weixin_65409651的博客
02-15 874
用户的私钥只有用户自己知道,保证加密数据不会被破解。当用户登录 QQ 空间QQ 邮箱等产品时,QQ 服务器会生成一个 Key(密钥),并将该 Key 发送给用户的 QQ 软件。QQ服务器收到加密后的数据后,使用用户的公钥进行解密,并将解密后的数据与服务器端保存的密钥进行对比。后续,QQ 服务器会收到加密后的数据,并采用用户提供的公钥进行解密,验证解密后的数据与服务器端保存的 Key 是否匹配。用户的 QQ 软件会采用对称加密算法将该 Key 与用户的私钥进行加密,并将加密后的数据发送给 QQ 服务器。
SSRF---gopher和dict打redis
unexpectedthing的博客
12-01 6891
前言 之前关于SSRF打redis(redis的未授权漏洞)都没咋总结,现在总结一下。 redis简介 redis是一个key-value存储系统,是一个开源(BSD许可)的,内存中的数据结构存储系统,它可以用作数据库、缓存和消息中间件。 它支持多种类型的数据结构,如 字符串(strings), 散列(hashes), 列表(lists), 集合(sets), 有序集合(sorted sets) 与范围查询, bitmaps, hyperloglogs 和 地理空间(geospatial) 索引半径查询。
从零开始学习网络安全渗透测试之信息收集篇——(一)Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份
love6a6的博客
08-14 2166
明确目标之后,我们要对目标的信息进行收集,有时候甲方进行授权时,给我们的信息很少,刁难你一下,比如就给你一个IP地址,让你自己找一下我们有多少域名、IP地址、对外资产信息有哪些等等,我们就需要自行模拟黑客攻击流程,对企业的各类信息进行收集,其实不管是企业也好,还是你自己个人也好,想要测试某个网站的安全性,都要对这个网站的各类信息进行收集。
Web渗透测试-实战 方法 思路 总结
热门推荐
m0_55595611的博客
02-21 1万+
尽可能的搜集目标的信息 端口信息 DNS信息 员工邮箱 信息搜集的分类 1、主动式信息搜集(可获取到的信息较多,但易被目标发现) 2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。 3、被动式信息搜集(搜集到的信息较少,但不易被发现) 4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。 搜索引擎 Google hacking 常用搜索语法: intitle:KEYWORD //搜索网页标题中含有关键词的网页 intext:KEYWORD //搜索站
ssrf
yesdmmf的博客
06-14 1969
SSRF总结简介SSRF漏洞相关函数和类file_get_contents()fsockopen()curl_exec()SoapClientSSRF漏洞利用的相关协议常见利用方式(file、http/s和dict协议)读取内网文件(file协议)探测内网主机存活(http/s协议) 简介 SSRF (Server-Side Request Forgery:服务器端请求伪造) 是一种有攻击者构造形成并有服务短发起恶意请求的一个安全漏洞。正是因为恶意请求有服务端发起,而服务端能够请求到与自身相连而与外网隔绝的
SSRF
7hinkSource的博客
09-04 266
概述 SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种攻击者发起的伪造由服务器端发起请求的一种攻击。 <?php if(isset($_REQUEST['url'])) { $link = $_REQUEST['url']; $filename = './curled/'.time().'.txt'; $curlobj = crul_init($link); $fp = fopen($filename,"w"); curl_setopt($curlo
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值