web安全
关注
分享
扫一扫
666
happysecurity
安全爱好者,数码硬件外设极客。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
xss漏洞
0x00 前言 xss漏洞是往web站点恶意插入JS代码,由web的后端语言 将JS代码输出并在浏览器运行,达到恶意攻击用户的目的。利用方式多种多样,是非常危险的漏洞。 DOM :一种操作可扩展标记语言(如HTML、XML等)的javascriptAPI 文档(document):一个页面就是一个文档 元素(element):页面中的使用标签 节点(node):页面中的所有内容都是节点(标签...原创 2020-03-18 17:31:48 · 243 阅读 · 0 评论 -
文件包含漏洞与伪协议利用
包含函数 php 函数 include() include_once() request() request_once() 包含文件:有php代码就当作php运行,有字符串则输出字符串。 远程包含:可以包含url文件(fopen,include) 伪协议包含:php://input ...原创 2020-03-09 15:31:44 · 1373 阅读 · 0 评论 -
解析漏洞
解析漏洞是指web服务器因对http请求处理不当导致将非可执行的脚本,文件等当做可执行的脚本,文件等执行。该漏洞一般配合服务器的文件上传功能使用,以获取服务器的权限。 0x01:IIS IIS 5.X-6.0解析漏洞: 存在以".asp"或".asa"格式结尾的文件夹,里面的任意文件都可以当作asp脚本执行。 asp一句话: <%execute(request("value"))%&...原创 2020-03-04 14:32:16 · 213 阅读 · 0 评论