- 博客(3)
- 收藏
- 关注
RSS订阅转载 文章标题
一、简述 越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽,对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。也可以:越权漏洞是一种很常见的逻辑安全漏洞。可以这样理解:服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定,导致攻击账
2017-08-02 16:15:12
379
原创 常见web漏洞及利用方法
1、越权漏洞 (1)平行越权,没有经过任何验证 cookie越权,伪造认证 遍历信息 (2)JavaScript越权 2、文件上传漏洞 (1)NGIN解析漏洞 利用方法 上传一户话图片到网站,找到www.xxxx.com/image/1.jpg,输入一句话密码, 访问 www.xxx.com/image/1.jpg/a.php,一句话图片就呗执行了 还有00截断:
2017-06-07 16:36:14
1999
原创 kali ------信息收集 dmitry,whois
1、DMitry(DeepmagicInformation Gathering Tool)是一个一体化的信息收集工具。它可以用来收集以下信息: 1. 端口扫描 2. whois主机IP和域名信息 3. 从Netcraft.com获取主机信息 4. 子域名 5. 域名中包含的邮件地址 常用: 获取 whois ,ip,主机信息,子域名,电
2017-05-17 17:21:38
773
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人