- 博客(8)
- 资源 (1)
- 收藏
- 关注
转载 CRLF 注入攻击介绍和防范
目录1、什么是CRLF攻击2、CRLF注入的关键概念3、通过实例解释CRLF注射4、CRLF注入的修复建议1、什么是CRLF攻击CRLF的含义是“carriage return/line feed”,意思就是回车和换行。这是两个ASCII字符,分别排在第十三和第十位。CRLF指的是特殊字符元素“回车”和“换行”。这些元素嵌入在HTTP标头和其他软件代码中,以...
2019-05-15 15:21:18
6953
转载 SSRF(服务端请求伪造)
SSRF 简介SSRF,Server-Side Request Forgery,服务端请求伪造,是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制。攻击者可以利用 SSRF 实现的攻击主要有 5 种:可以对外网、服务器所在内网...
2019-05-14 17:02:15
1019
转载 CSRF攻击(跨站请求伪造)和防御
CSRF 简介CSRF,全名 Cross Site Request Forgery,跨站请求伪造。很容易将它与 XSS 混淆,对于 CSRF,其两个关键点是跨站点的请求与请求的伪造,由于目标站无 token 或 referer 防御,导致用户的敏感操作的每一个参数都可以被攻击者获知,攻击者即可以伪造一个完全一样的请求以用户的身份达到恶意目的。CSRF 类型按请求类型,可分为 GET...
2019-05-14 01:29:34
800
转载 XXE(XML实体注入)攻击介绍与防御
在介绍xxe漏洞前,先学习温顾一下XML的基础知识。XML被设计为传输和存储数据,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XML文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。<!--XML申明--><?xml version="1.0"?><!--文档类型定义-->&l...
2019-05-14 01:14:12
3643
转载 XSS 跨站脚本攻击的攻防
1、什么是XSS攻击跨站脚本(Cross-Site Scripting,XSS)是一种经常出现在 WEB 应用程序中的计算机安全漏洞,是由于 WEB 应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取 Cookies 资料窃取、会话劫持、钓鱼欺骗等各种攻击。2、XSS攻击的产生XSS...
2019-05-13 22:58:49
921
原创 Sql注入攻击介绍与防护
1、什么是sql注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VI...
2019-05-12 22:19:17
1118
转载 web攻击方式 介绍
对于互联网上的攻击,让很多IT从业者叫苦不迭,时常一个漏洞会引发其他漏洞,导致本来看起来很小的一个失误,会引发极其严重的后果。本文旨在帮助自己和一些想了解互联网web安全防护领域的人,对常用的一些攻击方式有大概的了解,提醒自己要注意尽量规避这些错误。本文只是简单介绍一些攻击方式,并未提供原理和解决方案,后续会继续更新一些攻击的更详细介绍和解决方案,希望大家批评指正。本文主要素材来源 CTF ...
2019-05-12 17:52:34
1644
原创 php魔术方法整理
__construct(), __destruct(), __call(), __callStatic(), __get(),__set(), __isset(), __unset(), __sleep(),__wakeup(), __toString(),__invoke(), __set_state(), __clone() 和 __debugInfo() 等方法在 PHP 中被称为"魔术方法...
2018-12-06 19:12:46
227
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人