小迪web安全
关注
分享
扫一扫
文章平均质量分 95
web安全学习记录
DDdd...
一个安全小白的学习历程
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
三、WEB漏洞-逻辑越权
33、逻辑越权之水平垂直越权原理1.垂直越权访问普通用户->计划专员->超级查看员->超级管理员水平越权访问用户A->用户B->用户C->用户D2.水平,垂直越权,未授权访问解释,原理,检测,利用,防御等水平越权:通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据(权限相同)。逻辑越权:使用低权限身份的账号,发送高权限账号才能有的请求,获得其高权限的操作。未授权越权:通过删除请求中的认证信原创 2022-05-09 20:03:18 · 2211 阅读 · 0 评论 -
四、漏洞发现
42、漏洞发现-操作系统之漏洞探针利用修复一、漏洞扫描工具演示-Goby,Nmap,Nessus(操作)1.goby忍者系统测试可以到官网下载,也可以直接使用忍者系统里的进行扫描扫描结果可以查看端口,协议等等点击192.168.137.12的漏洞漏洞描述(ms17-010)访问漏洞的网站链接(漏洞利用的代码)2.nmap扫描43、漏洞发现-...原创 2022-05-09 17:22:48 · 2895 阅读 · 1 评论 -
三、Web漏洞-反序列化
37、WEB漏洞-反序列化之PHP(上)原理PHP 反序列化原理:1.未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。2.其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化和反序列化相当于加解密过程)3.在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。---序列化函数:serialize() //将一个对象转换成一个字符串...原创 2022-05-11 11:36:40 · 4125 阅读 · 0 评论 -
三、Web漏洞-文件操作
目录31、文件操作之文件包含漏洞全解原理一、本地文件包含代码测试——原理1.无限制包含漏洞文件2.有限制文件包含漏洞二、远程文件包含代码测试——原理1.无限制2.有限制三、各种协议流提交流测试-协议php伪协议 - 看不尽的尘埃 - 博客园1.读取文件源码filter2.执行php代码input 3.写入一句话木马 input4.读取文件file://5.数据流封装data://四、某CMS程序文件包含利用-黑盒(...原创 2022-05-06 10:52:48 · 902 阅读 · 0 评论 -
Web漏洞-Xss跨站
[草稿]XSS跨站发布时间:2022-04-23 21:43:11 作者:weixin_46544151 阅读数:0 标签:web安全,安全,网络安全文章描述:25.xss跨站之原理分类及攻击方法 一、本地环境XSS,漏洞原理讲解 在phpstudy中根目录创建1.php <?php $xss=$_GET['x']; echo $xss; ?> 浏览器打开,在网址后输入?x=1,网页输出1 输入?x=<script>alert(1)</script&...原创 2022-05-05 14:38:19 · 809 阅读 · 0 评论