m0_74402888的博客

它遵循JSON格式，将用户信息加密到token里，服务器不保存任何用户信息，只保存密钥信息，通过使用特定加密算法验证token，通过token验证用户身份。Header是JWT的第一个部分，是一个JSON对象，主要声明了JWT的签名算法，如"HS256”、"RS256"等，以及其他可选参数，如"kid"、"jku"、"x5u"等。Payload是JWT的第二个部分，这是一个JSON对象，主要承载了各种声明并传递明文数据，用于存储用户的信息，如id、用户名、角色、令牌生成时间和其他自定义声明。

知识点：1、Java安全原生反序列化3大类接口函数利用2、Java安全SpringBoot攻防泄漏安全CVE安全。

com.sun.jndi.rmi.object.trustURLCodebase、com.sun.jndi.cosnaming.object.trustURLCodebase 的默认值变为了false，即默认不允许通过RMI从远程的Codebase加载Reference工厂类。References：在一个实际的名称服务中，有些对象可能无法直接存储在系统内，这时它们便以引用的形式进行存储，可以理解为 C/C++ 中的指针。IP，在RMI中远程对象绑定到对应的name，文件系统中文件名绑定到对应的文件。

XXE ( XML External Entity Injection ), XML外部实体注入，当开发人员配置其XML解析功能允许外部实体引用时，攻击者可利用这一可引发安全问题的配置方式，实施任意文件读取、内网端口探测、命令执行、拒绝服务等攻击。SSTI(Server Side Template Injection) 服务器模板注入, 服务端接收了用户的输入，将其作为 Web 应用模板内容的一部分，在进行目标编译渲染的过程中，执行了用户插入的恶意内容。XML使用标签来描述数据的结构和含义。

获取URL，获取JS敏感信息，获取代码传参等，所以相当于JS开发的WEB应用属于白盒测试，一般会在JS中寻找更多URL地址，（加密算法，APIkey配置，验证逻辑，框架漏洞等）进行后期安全测试。JS开发应用和PHP，JAVA等区别在于即没源代码，也可通过浏览器查看源代码。4、开发框架类(寻找历史漏洞Vue、NodeJS、Angular等)2、敏感信息（用户密码、ak/sk、token/session）1、会增加攻击面（URL、接口，分析调试代码逻辑）、JavaScript安全。、JavaScript安全。

失败的原因：js代码是运行在内存中的，首先内存肯定有这个函数的定义，但是调用失败，就说明没有变量，需要先创建变量才是使用函数。因为服务端接收到数据的时候会对该数据进行解密处理，如果用户提交的数据没有进行加密而是直接以明文方式传输给服务端，服务端在对这个明文进行解密操作得出来的就是一串乱码，无论用户密码是否正确肯定都会失败。/**********在这里编写调用加密函数进行加密的代码************/备注：有的网站能用有的不能用，区别就在于HTML写的表单不一样导致)，不推荐。

当在您没有代码的网站上遇到反序列化时，或者只是在尝试构建漏洞时，此工具允许您生成有效负载，而无需执行查找小工具并将它们组合的繁琐步骤。目前该工具支持的小工具链包括：CodeIgniter4、Doctrine、Drupal7、Guzzle、Laravel、Magento、Monolog、Phalcon、Podio、ThinkPHP、Slim、SwiftMailer、Symfony、Wordpress、Yii和ZendFramework等。

protect 修饰的属性：类内设置访问属性的接口(public)，类外的子类，本类创建对象调用接口从而访问属性。protect 修饰的方法：类内设置访问属性的接口(public)，类外的子类，本类创建对象调用接口从而调用方法。private 修饰的方法：类内设置接口，只有本类自己可以通过创建对象访问类内接口从而访问类内私有方法。默认的原生类生成脚本有太多原生类和方法了，这里只保留__toString方法，生成其有的原生类)无代码通过原生类SoapClient(只生成_call方法的原生类)

XXE漏洞XML External Entity Injection，即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取(最常用)、命令执行、内网扫描、攻击内网等危害。XML被设计为传输和存储数据，XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。DOCTYPE和

知识点：1、找回修改机制验证码突破回传显示规律爆破2、找回修改机制验证目标重定向用户重定向发送3、找回修改机制验证逻辑修改响应包跳过步骤URL通过手机找回密码，响应包中包含。找回密码时使用位数较少的短信验证码，或者验证码没有设置有效时间限制，导致攻击者借助自动化工具在一定时间范围内爆破获得短信验证码，从而导致重置任意账号密码。某CMS重定向用户。

自带白嫖版：https://github.com/smxiazi/NEW_xp_CAPTCHA。项目地址：https://github.com/smxiazi/NEW_xp_CAPTCHA。接口收费版：https://github.com/smxiazi/xp_CAPTCHA。1、验证码简单机制-验证码过于简单可爆破。2、验证码重复使用-验证码验证机制可绕过。3、验证码智能识别-验证码图形码被可识别。4、验证码接口调用-验证码触发接口可枚举。3、设置插件-验证码地址。4、数据包验证码填入参数。

熟悉那些另类方法：无限试用，越权支付，并发兑换，四舍五入半价购，循环利用优惠券，支付签约逻辑等。熟悉常见支付流程：选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付。熟悉那些数据篡改：商品ID，购买价格，购买数量，订单属性，折扣属性，支付方式，支付状态等。熟悉那些修改方式：替换支付，重复支付，最小额支付，负数支付，溢出支付，优惠券支付等。找到关键的数据包：可能一个支付操作有三四个数据包，我们要对数据包进行挑选。分析数据包：支付数据包中会包含很多的敏感信息（账号，金额，余额，优惠等）

实战：找到当前用户相关的参数名，添加返回包里面的参数名参数值去提交，参数值请求数据加密：JS中找逆向算法，还原算法重新修改发包测试，请求包带token：直接复用和删除测试。因为这些插件都需要配置，需要不少时间，有这个时间可能手工都测完了。项目地址：https://github.com/smxiazi/xia_Yue。3、未授权访问：通过无级别用户能访问到需验证应用。2、垂直越权：低级别用户到高级别用户权限的跨越。逻辑越权-检测项目-BURP插件&对比项目。1、水平越权：同级别的用户之间权限的跨越。

eval()、assert()、preg_replace()、create_function()、array_map()、call_user_func()、call_user_func_array()、array_filter()、uasort()、等。system()、exec()、shell_exec()、pcntl_exec()、popen()、proc_popen()、passthru()、等。检测——黑盒 漏扫工具(awvs、xray等)、公开漏洞、手工看参数及功能点。

一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。Web常见访问，如http://127.0.0.1、http://127.0.0.1:8080、http://192.168.1.1、http://192.168.1.2等。可以防止类似于file:///,gopher://,ftp:// 等引起的问题。从文件系统中获取文件内容，如，file:///etc/passwd、file:///D:/1.txt。file:/// 从文件系统中获取文件内容，如，file:///etc/passwd。

CSRF_token 对关键操作增加Token参数，token必须随机，每次都不一样，存储在cookie中，与验证码一样。token(令牌,也可以理解为暗号,在数据传输之前，要先进行暗号的核对，暗号不一致则拒绝数据传输)绕过2：将Token参数值置空（代码逻辑不严谨）把token的值删掉，保留token=绕过1：将Token参数删除（代码逻辑不严谨）把token整个参数值删掉。绕过0：将Token参数值复用（代码逻辑不严谨）能够重复使用token。绕过3：去掉检测来源头(代码逻辑问题)

工具使用参考地址：https://blog.youkuaiyun.com/weixin_50464560/article/details/120384706。该制度明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单(当外部资源不在白名单内，禁止网站访问外部资源)，常用标签：https://www.freebuf.com/articles/web/340080.html。环境下载：https://github.com/Re13orn/xss-lab。禁止外域提交，网站被攻击后，用户的数据不会泄露到外域。

location.href='http://x.x.x.x/flash'常用标签：https://www.freebuf.com/articles/web/340080.html。拓展类型：jquery，mxss，uxss，pdfxss，flashxss，上传xss等。安全修复：字符过滤，实例化编码，http_only，CSP防护，WAF拦截等。攻击利用：盲打，COOKIE盗取，凭据窃取，页面劫持，网络钓鱼，权限维持等。基础类型：反射(非持续)，存储(持续)，DOM-BASE。

SVG(Scalable Vector Graphics)是一种基于XML的二维矢量图格式，和我们平常用的jpg/png等图片格式所不同的是SVG图像在放大或改变尺寸的情况下其图形质量不会有所损失，并且我们可以使用任何的文本编辑器打开SVG图片并且编辑它，目前主流的浏览器都已经支持SVG图片的渲染。通过文件上传功能上传一个SVG文件(该文件已经提前植入XSS代码)，然后在访问这个上传后的svg地址即可触发上图效果。对本身的swf文件反编译逆向，分析触发点，文件上传触发JS。

无解，把上传的东西放在了云存储桶里(类似一个网盘，专门放东西的地方)安全绕过：以上方案除目录设置权限如能换目录解析绕过外，其他均无解。无论什么东西放上去就只是一个文件，如直接访问就会下载。数据做存储，解析固定（任何文件后缀名都无用）数据做存储，解析固定（文件后缀名无关）文件上传后存储目录不给执行权限。文件上传后利用编码传输解码还原。文件上传后存储目录不给执行权限。无解，上传和存储的地方不在一个。)传输并对应解码还原，无解。文件上传后利用编码(

PHP：include、require、include_once、require_once等，include在包含的过程中如果出现错误，会抛出一个警告，程序继续正常运行。php://filter/write=convert.base64-encode/resource=phpinfo.php //这个需要代码里有两个参数才行。方式二：php://filter/read=convert.base64-encode/resource=phpinfo.php。> 这种是包含指定页面，不存在文件包含漏洞。

登录后台，找到可以删除的页面操作，点击删除，并进行抓包，发现数据包中，的删除操作可以进行执行文件名替换（替换为其他文件进行删除），可以将其替换为源码中的install_lock.txt文件，是一个标识文件，通常用于记录或标记应用程序或系统的安装状态。/root/.ssh/authorized_keys //如需登录到远程主机，需要到.ssh目录下，新建authorized_keys文件，并将id_rsa.pub内容复制进去。

解决方式：使用特定的语句进行替换，如**x onerror=”alert(1)”**如果你将 onerror="alert(1)" 嵌入到某个 HTML 元素中，那么当该元素加载失败时（例如图像加载失败、脚本加载失败等），JavaScript 中的 alert(1) 将会被执行，弹出一个带有 “1” 的警告框。通过URL访问该页面http://192.168.137.1:84/domxss.html#https://www.baidu.com)并在**#后面跟上，想要跳转的页面，访问即可成功跳转**

文件上传安全指的是攻击者通过利用上传实现后门的写入连接后门进行权限控制的安全问题，对于如何确保这类安全问题，一般会从原生态功能中的文件内容，文件后缀，文件类型等方面判断，但是漏洞可能不仅在本身的代码验证逻辑中出现安全问题，也会在语言版本，语言函数，中间件，引用的第三方编辑器等存在缺陷地方配合利用。首先抓包监听，如果上传文件的时候还没有抓取到数据包，但是浏览器就提示文件类型不正确的话，那么这个多半就是前端校验了。3、PHP-原生态-文件上传-函数缺陷&逻辑缺陷。一般上传用的不多，主要用来留后门。

网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据X-Forwarded-For：简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP,（通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP]）.// 检查是否存在 $_SERVER['REMOTE_ADDR']，其值不为空，并且不是 "unknown"$g=$_GET['g'];将百度的任意一个可触发按钮，连接值（网址）修改后，数据回显，出现**Rerferer**

2.读取数据库配置文件得到数据库的目录位置，因为服务器是Apache搭建的，有默认的存储位置，网上也能查询到很多默认路径，还有方法就是有些代码执行错误也会爆出路径，还有就是phpinfo文件里也有路径。数据库版本-看是否符合information_schema查询-version()，版本大于5.0就可以查询到数据库下的数据库名及表名，列名信息的数据库。information_schema：存储数据库下的数据库名及表名，列名信息的数据库。

ACCESS数据库无管理帐号密码，顶级架构为表名，列名（字段），数据，所以在注入猜解中一般采用字典猜解表和列再获取数据，猜解简单但又可能出现猜解不到的情况，由于Access数据库在当前安全发展中已很少存在，故直接使用SQLMAP注入，后续再说其他。由于大部分ASP程序与ACCESS数据库搭建，但ACCESS无需连接，都在脚本文件中定义配置好数据库路径即用，不需要额外配置安装数据库，所以大部分提前固定好的数据库路径如默认未修改，当攻击者知道数据库的完整路径，可远程下载后解密数据实现攻击。

IIS 7.x 解析漏洞：在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件。参考：https://blog.youkuaiyun.com/qq_45813980/article/details/126866682。参考：https://cloud.tencent.com/developer/article/2200036。打开官网，点击历史版本，是百度网盘，选择1.4.3.3的net Utf8 版本，即。