技能树点歪的尘尘
  文章分类
721-ctf 4 CTF 9 数据库 4 bin 1 数据结构与算法 3 知识积累 13 JAVA 5 算法 1 Linux 7 渗透测试工具 9 安全学习 4 PHP 4 Java安全 1 渗透测试 6 Python 3 ctfshow 4 漏洞复现 1
逻辑漏洞挖掘 逻辑漏洞挖掘
逻辑漏洞挖掘逻辑漏洞就是值攻击者利用业务设计缺陷,湖取名干信息或破坏业务完整性。一般出现在密码修改,越权访问,密码找回,交易支付金额等功能处。其中越权访问又有水平越权和垂直越权两种 水平越权: 相同级别(权限)的用户或者同一角色中不同用
2021-09-03 渗透测试
漏洞挖掘
信息泄露 信息泄露
信息泄漏SVN info1. 漏洞描述: 使用svn管理本地文件代码的过程,会自动生成一个.svn的文件夹—包含这网站的重要信息 如果网站管理员在发布网站的时候,没有使用到处功能,而是直接复制微网站后台的文件夹,就会导致.svn文件暴露在
2021-06-04 渗透测试
漏洞挖掘
XXE笔记 XXE笔记
XXE1. XML注入 简单如图所示: 类似于SQL注入,在可控的范围内,插入了xml代码 XXE注入 全称为XML外部实体注入 也就是在提交xml数据的时候,在导入dtd文档的时候,尝试倒入自己本地的文件,或者远程的文件 基础知识:
2021-05-31 渗透测试
web
xss靶场解析 xss靶场解析
xss靶场解析第一关:get型xss漏洞 根据地址拦确定,提交的参数是name 构造name的payload ?name=<script>alert(1)</script> 所以这一关没有进行任何的防护措施 第二
2021-05-03 渗透测试
web
初识owasp 初识owasp
WEB任务:1.目前owasp的十大web安全漏洞是哪些?这些漏洞排名是按照漏洞的严重程度排序的还是按照漏洞的常见程度排序的?(2分) injection(Sql,Command) Broken Authentication Sensi
2021-05-01 渗透测试
web
sql注入漏洞解析 sql注入漏洞解析
SQL-labsql注入全部解析 1. 单引号字符型注入 先看题,要求输入一个数字 入乡随俗,试一试 很显然,会有回显 接下来自由发挥,再输入一个2试试,又变了 接下来,接下来试一试他的闭合方式 添加完单引号,根据报
2021-04-18 渗透测试
web