- 博客(8)
- 收藏
- 关注
RSS订阅原创 pikachu靶场练习系列(四)CSRF(跨站请求伪造)
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。测试发现不管是删掉token,还是复制谷歌得到的token到火狐,都不能对信息进行修改,而且token的值也毫无规律可言,因此就要使用一些绕过的方法进行攻击。点击修改个人信息,用burpsuite抓包,点击submit,看到get提交的数据包。登陆注册界面,我们查看提示,进行登陆看看。
2025-03-19 19:32:03
148
原创 pikachu靶场练习系列(三)日录遍历、敏感信息泄露、XXE 、不安全的URL跳转
在这种攻击中,攻击者通过在XML文件中插入恶意实体来触发解析器加载恶意代码或文件,从而执行任意代码、读取本地文件等操作。在XXE攻击中,攻击者通常会构造一个包含恶意实体的XML文件,并将其提交到目标服务器上进行解析。(2)文件jarheads.php和文件dir_list.php不在同级目录下,jarheads.php在dir_list.php同级的soup目录下。(1)dir_list.php文件中显示title参数值表示的文件的内容用的是require()函数。先了解一下题目,什么是目录遍历。
2025-03-12 16:07:13
368
原创 XSS-Lab靶场练习 (1-10)
确定漏洞类型通过 URL 参数传递,立即执行。数据存入数据库,后续访问者触发。由前端 JavaScript 解析并执行。查看页面源代码 & F12 调试找到输入字段(如name=message=观察是否有innerHTMLeval()等可疑代码。测试基本 XSS(测试 WAF 规则<script>是否被拦截?是否可用?是否有字符限制(长度、URL 编码)?构造有效 Payload基础 XSS(测试能否弹窗)窃取 Cookie、伪造请求、键盘记录。
2025-03-10 19:25:29
903
原创 pikachu靶场练习系列(二)XSS(跨站脚本攻击)
存储型XSS(Cross-Site Scripting)漏洞是一种常见的网络安全威胁,它允许攻击者将恶意脚本注入到网站的数据库中,当其他用户访问受影响的页面时,这些脚本会在他们的浏览器中执行。这种攻击的危害性在于其持久性和隐蔽性,因为恶意脚本被存储在服务器上,每当页面被加载时,脚本就会自动执行。关键点:关注数据存储和渲染的过程,确保恶意脚本能够被持久化存储并最终在页面中执行。xss形成原因是程序对输入和输出控制不够严格,导致“精心构造”的脚本输入后,在输出到前端时被浏览器当作有效代码解析执行而产生的危害。
2025-03-05 16:49:56
534
原创 pikachu靶场练习系列(一)暴力破解 (Brute Force Attack)
服务端收到请求后,验证Token的合法性,合法就返回客户端所需数据,反之,返回验证失败的信息。说明只要不刷新验证码就不会改变,接下来就剩用户密码的爆破了,接下来的操作与上一题相同。验证成功后,服务端会返回一个Token给客户端,反之,返回身份验证失败的信息。所以我们的目标就是要得到服务端返回的Token,前面的步骤都和密码爆破一样。拿到题目先尝试一下,输入正确的验证码,提示账号或密码不存在。查看源代码,发现验证验证码的代码在前端,我们把它禁了就可以。剩下的就是上面重复的爆破用户名密码过程,这里不赘述。
2025-03-03 15:58:39
319
1原创 linux基础命令(一)
终端:是一种特殊的字符设备,用来向计算机输入数据和显示计算机的输出,后面慢慢演变成了控制台终端,提供系统管理接口的终端设备,读取管理员的操作指令,输出系统运行信息(应用程序、系统程序、内核等)。在我们学习中不免遇到Linux系统服务器,那么对于linux的基础命令也需要知道。下面我们一一的来学习linux的基础指令。
2024-04-08 15:56:49
169
原创 web运行原理与操作系统
一个网站的搭建离不开这五个部分一种管理计算资源的计算机,通常利用服务器操作系统来搭建网站。服务器在网络中为其它客户机(如智能手机、ATM等终端)提供计算或者应用服务。服务器具有高速的CPU运算能力、长时间的可靠运行、强大的I/O外部数据吞吐能力(即单位时间内能够处理的数据量)以及更好的扩展性。按照数据结构来组织、存储和管理数据的仓库。它的存储空间很大,可以存放百万条、千万条、上亿条数据。是将数据进行一定的规则的存放,当今世界是一个充满着数据的互联网世界,充斥着大量的数据。即这个互联网世界就是数据世界。
2024-04-07 21:54:50
760
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人