- 博客(14)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 XXE原理及利用防御
XXE 漏洞全称XML External Entity Injection,即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
2022-05-15 11:44:58
460
原创 XML文件约束DTD
文件约束就是xml文档的书写规范,它约定了该文档的元素和属性应该怎么写,应该怎么嵌套而DTD是文件约束的一种方式。常用的就如下两种,本文介绍DTD
2022-05-14 18:28:06
841
原创 XML概述
XML 可扩展标记语言(EXtensible Markup Language ) 被设计为传输和存储数据,XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从 HTML 分离,是独立于软件和硬件的信息传输工具。
2022-05-14 17:53:34
1661
原创 java安全
当java JDBC采用preparestatment预编译之后,sql语句会先编译好语句逻辑,参数位置使用占位符?,那么参数就不会执行sql逻辑,从而实现防御大部分的sql注入。
2022-05-13 10:53:53
333
原创 CSRF和SSRF
CSRF(Cross Site Request Forgery),中文是跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任即会话跟踪技术实现的身份凭证,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
2022-05-12 18:35:52
185
原创 xss原理及利用
跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。当别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
2022-05-12 18:30:46
1549
原创 文件包含漏洞
程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件, 而无需再次编写,这中文件调用的过程一般被称为文件包含。程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用, 但正是由于这种灵活性,从而导致客户端可以调用一个恶意文件,造成文件包含漏洞。
2022-05-12 11:52:44
262
原创 文件读取下载
一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞
2022-05-12 11:52:13
249
原创 文件上传概述
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果
2022-05-11 20:28:49
1143
空空如也
axios请求没有发送出去,f12查看不到
2022-04-22
TA创建的收藏夹 TA关注的收藏夹
TA关注的人