lyy0xfff的博客

ContentsPreface本博文仅用于信息安全教学，切勿用于其他用途CSRFLowSource CodeSolutionMediumSource CodeSolutionHighSource CodeSolutionImpossibleSource CodeSolutionPreface本博文仅用于信息安全教学，切勿用于其他用途CSRFCSRF (跨站点伪造请求)是一种网络攻击方式，该攻击可以在受害者毫不知情的情况一下以受害者名义伪造请求发送给受攻击站点，从而在未授权的情况下执行在权限保护之

ContentsLowXSS()Source CodeSolutionXSS()Source CodeSolutionXSS()Source CodeSolutionMediumXSS()Source CodeSolutionXSS()Source CodeSolutionXSS()Source CodeSolutionHighXSS()Source CodeSolutionXSS()Source CodeSolutionXSS()Source CodeSolutionImpossibleXSS()Sour

ContentsPrefaceLowSource CodeSolutionMediumSource CodeSolutionHighSource CodeSolutionImpossibleSource CodeSolutionPreface文件包含在web后台开发中，会把一系列功能为了简便写到一个function.php中，之后当某个文件需要调用的时候就直接在在文件头写上一句<?php include function.php?>,就可以直接调用函数代码。通过include()

Preface同上一篇命令执行，同样也是复习明天的考试，从而自己写一篇博客，关于暴力破解，实际上就是运用到我们的burp的intruder模块和一些密码字典来进行暴力破解密码Main Body0x00我们首先打开我们的DVWA靶场其实这个就是让我们爆破密码，我们用burp的intruder模块假设我们已经知道用户名，只需要去猜解它的密码，我们通过抓包，然后发送到爆破模块，把密码当成变量首先当密码不正确的时候返回的页面如下表密码正确的时候返回0x01我们将将密码设置为变量然后加载

Preface前几天一直专注于SQL注入，因为明天要考试了，所以今天赶紧复习一下基础漏洞，先从相对简单的命令执行开始复习Main Body0x00命令执行是通过代码层 直接调用系统执行命令例如 调用cmd 执行ping 操作在Web程序中，因为业务所需，需要调用系统命令执行某些功能然后反馈其结果一般做法是通过web前端传递参数到后台服务器上执行，但由于开发人员没有对输入进行严格的过滤，导致攻击者可以构造一些额外的"带有非法目的"的命令，欺骗后台服务器执行，造成破坏。命令执行的危害因