渗透测试
关注
分享
扫一扫
文章平均质量分 73
专注漏洞检查项,提供检测方法,解决手段
爱吃红薯拔丝的小鹿
让技术成为力量
展开
-
专栏前言-WooYun漏洞库环境搭建
包含8.8W漏洞信息(不含知识库);虚拟机为ubuntu16.04,PHP5.6+MySQL5.7+Apache2。虚拟机用户名、密码为hancool/qwe123。本专栏的漏洞实验项目均使用WooYun漏洞库。密码: w8vb (2017.7.4)WooYun漏洞库下载链接为。漏洞信息和代码来自于。原创 2024-09-03 15:42:57 · 418 阅读 · 0 评论
-
【渗透测试专栏】1.2认证和授权类-越权访问(水平/垂直越权)
流程描述:在服务器接收到用户发送的页面访问请求时,根据预设的识别策略,从用户的页面访问请求中提取该用户对应的用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中的表单及该表单中不可修改参数,将所述表单及不可修改参数与所述用户唯一标识信息绑定后记录到参数列表中;为了防止越权访问漏洞的出现,开发人员应该在系统设计和开发过程中,采用严格的权限管理机制,对用户的身份和权限进行充分的验证和授权,确保用户只能访问和操作自己有权限的资源。用户的资源或执行高权限的操作。靶机环境请看专栏前言。原创 2024-09-05 17:50:30 · 1363 阅读 · 0 评论 -
【渗透测试专栏】1.1认证和授权类-任意文件下载
任意文件下载漏洞是指应用程序在实现文件下载功能时,由于对用户输入的文件路径等参数未进行严格的过滤和校验,导致攻击者可以通过构造特定的请求,让应用程序下载服务器上的任意文件,包括敏感的系统文件、配置文件、数据库文件等。原创 2024-09-04 15:27:25 · 1487 阅读 · 0 评论