web漏洞
关注
分享
扫一扫
文章平均质量分 92
常见漏洞
_Poseidon
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
SSRF由浅入深
SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种安全漏洞,攻击者通过构造恶意请求,利用存在漏洞的服务器向指定地址发起请求,从而访问或攻击目标系统。SSRF 漏洞通常出现在 Web 应用中,尤其是那些提供从指定地址获取资源的功能(如加载图片、抓取网页内容等)但未对用户输入的 URL 进行严格校验的场景。原创 2025-06-09 08:44:07 · 885 阅读 · 3 评论 -
命令执行漏洞
RCE(远程代码执行)漏洞是Web应用中的一种严重安全漏洞,通常由于应用对用户输入过滤不严,导致攻击者能够执行任意系统命令或代码。常见的RCE漏洞函数包括system()、exec()、eval()等,这些函数允许将字符串作为系统命令或代码执行。攻击者可以通过多种方式绕过安全措施,如使用管道符、空格过滤、反斜杠、取反、异或、自增等技术。此外,黑名单绕过、编码绕过、正则匹配绕过等方法也常被用于绕过防护机制。原创 2025-06-10 08:40:28 · 765 阅读 · 1 评论 -
redis未授权(CVE-2022-0543)
Redis未授权访问漏洞分析 Redis默认配置存在未授权访问风险,若以root身份运行且未设置密码,攻击者可利用该漏洞获取系统权限。漏洞利用方式包括:通过写入SSH公钥实现免密登录、利用crontab反弹shell、在Web目录写入WebShell等。攻击者无需认证即可访问内部数据,甚至执行任意命令,危害严重。环境复现显示,通过redis-cli连接目标服务器后,攻击者可通过修改Redis配置实现文件写入,最终获取系统控制权。防范措施包括设置强密码、限制访问权限、不以root身份运行Redis服务等。原创 2025-05-30 20:36:07 · 1422 阅读 · 3 评论 -
XXE由浅入深
XXE(XML 外部实体注入)是一种通过恶意构造 XML 实体实现任意文件读取、命令执行、内网探测等攻击的漏洞,常见于未禁用实体解析的 XML 处理流程中。防御需禁用外部实体解析并过滤敏感关键词。原创 2025-05-21 14:33:16 · 1355 阅读 · 2 评论 -
XXS漏洞原理
XSS(跨站脚本攻击)是一种常见的 Web 安全漏洞,攻击者通过向网页注入恶意脚本,利用浏览器的漏洞在用户端执行恶意操作。XSS 漏洞主要有三种类型:反射型 XSS、存储型 XSS 和 DOM 型 XSS。反射型 XSS 通过恶意链接诱使用户点击,立即执行脚本;存储型 XSS 将恶意脚本存储在服务器中,导致后续访问的用户都被攻击;DOM 型 XSS 通过修改客户端的 DOM 来执行恶意脚本。XSS 漏洞的危害包括窃取用户信息(如 Cookie)、进行钓鱼攻击、篡改页面内容以及攻击管理员。防御 XSS 攻击的原创 2025-05-14 10:45:47 · 984 阅读 · 1 评论