漏洞
关注
分享
扫一扫
IT—INTEREST_挪吒
那一年,他离开女儿国。她在城头似哭似笑,当着百官的面,对着他的背影大喊“唐玄奘,下辈子娶我可好?”
展开
-
逻辑漏洞原理
逻辑漏洞是: 网站开发人员再建设网站的时候,由于验证不严格,造成的bug。 逻辑漏洞隐患: 1、任意用户重置密码 2、提权/越权 3、任意金额购买 4、验证码绕过 提权 查看用户订单信息 登录->常看个人订单信息 每个订单都有一个id Xxxxx.com/...原创 2020-03-21 15:14:47 · 1154 阅读 · 1 评论 -
任意代码命令执行漏洞
代码执行: 原理: 当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能够控制这个字符串,将造成代码注入漏洞。 在php中: eval assert preg_replace(‘/*/e', '$ret = "\\1";',$data); 在asp中: e...原创 2020-03-21 15:02:17 · 1325 阅读 · 2 评论 -
命令执行漏洞
命令执行漏洞: 我们常常可以看到某些Web网站具有执行系统命令的功能,比如:有些网站提供ping功能,我们可以输入一个IP地址,它就会帮我们去尝试ping目标的IP地址,而我们则可以看到执行结果。 但是如果用户没有遵循网站的本意,而去输入精心构造的指令,可能会对网站本身的功能逻辑产生逆转,导致让目标网站执行恶意命令。 命令执行漏洞分类: web代...原创 2020-03-21 14:50:46 · 2697 阅读 · 1 评论 -
XXE漏洞——xml外部实体注入XXE
XXE:XXE全称XML External Entity Injection,也就是XML外部实体注入攻击,漏洞是对非安全的外部实体数据进行处理时引发的安全问题。 要了解XXE,就必须懂得XML的一些规则。 XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML文档结构包括XML声明、DTD文档类型定义...原创 2020-03-21 13:34:04 · 650 阅读 · 1 评论 -
SSRF漏洞——原理-挖掘
SSRF-漏洞 SSRF漏洞:SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由恶意访问者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF访问的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用...原创 2020-03-21 13:14:42 · 1404 阅读 · 1 评论