- 博客(6)
- 收藏
- 关注
RSS订阅原创 史上最全文件上传靶场(有的关卡写了多种通关方法)
首先把文件后缀改为图片格式,准备进行上传,打开bp进行抓包,点击上传我们在这里修改文件后缀,修改为php,即可,之后我们右键图片,进行打开图片即可看见我们需要的蚁剑也是可以连接的。
2023-10-24 09:20:41
1334
原创 XSS与靶场(史上最详细附带payload)
Cookie 和 Session都是用来跟踪浏览器用户身份的会话方式,但是两者的应用场景不太一样。Cookie 一般用来保存用户信息 比如①我们在 Cookie 中保存已经登录过得用户信息,下次访问网站的时候页面可以自动帮你填写登录的一些基本信息;②一般的网站都会有保持登录也就是说下次你再访问网站的时候就不需要重新登录了,这是因为用户登录的时候我们可以存放了一个 Token 在 Cookie 中,下次登录的时候只需要根据 Token 值来查找用户即可(为了安全考虑,重新登录一般要将 Token 重写)
2023-10-17 21:25:53
4472
1
原创 SSRF与靶场(史上最详细)
SSRF漏洞介绍:SSRF漏洞(服务器端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。SSRF漏洞原理:SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。利用的是服务端的请求伪造。
2023-10-17 21:16:55
2236
1
原创 CSRF漏洞以及靶场(史上最详细)
产生原因:服务器端没有对用户提交的数据进行严格的把控,导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器利用方式:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的原理:攻击者盗用了你的身份,以你的名义发送恶意请求危害:以受害者名义发送邮件,发消息,盗取受害者的账号,甚至购买商品,虚拟货币转账,修改受害者的网络配置(比如修改路由器DNS、重置路由器密码)等等。
2023-10-17 21:10:01
1644
原创 XEE漏洞学习(史上最详细 包括Linux配置漏洞环境)
XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害
2023-10-13 09:33:04
1175
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人