0x01 什么是SSI和SSI注入 SSI是英文Server Side Includes的缩写，翻译成中文就是服务器端包含的意思。从技术角度上说，SSI就是在HTML文件中，可以通过注释行调用的命令或指针。SSI具有强大的功能，只要使用一条简单的SSI 命令就可以实现整个网站的内容更新 ...

1、ssi 概念 服务端嵌入（server side include）,是一种基于服务器端的网页制作技术，可以将多个子页面合并渲染输出，大多数基于unix平台的web服务器均支持ssi指令，如nginx、apache 2、应用场景 cms管理系统中，页面内容过多时，将页面拆分成一个一个 ...

注入攻击是web领域最为常见的攻击方式，其本质是把用户输入的数据当做代码执行，主要原因是违背了数据与代码分离原则，其发生的两个条件：用户可以控制数据输入；代码拼接了用户输入的数据，把数据当做代码执行了。 下面是几种常见注入攻击及其防御方法： SQL注入及常见攻击技巧 经典注入 ...

背景 这里讲解HTML注入和iFrame注入，其他的本质都是HTML的改变。那么有人会问，XSS与HTML注入有啥区别呢？其实本质上都是没有区别的，改变前端代码，来攻击客户端，但是XSS可以理解为注入了富文本语言程序代码，而HTML注入只注入了超文本标记语言，不涉及富文本程序代码的问题 ...

前言：一样，做XCTF题esaytornado时的知识点，还是认真刷题慢慢增加自己的知识面吧。 tornado是python中的一个web应用框架。 拿到题目发现有三个文件： flag.tx ...

背景 由于时间限制和这俩漏洞也不是特别常用，在这里就不搭建环境了，我们从注入原来和代码审计的角度来看看。 邮件头注入 注入原理： 这个地方首先要说一下邮件的结构，分为信封（MAIL FROM、RCPT TO）、头部（From，To，Subject、CC、BCC等）、主体 ...

---恢复内容开始---# 背景 *** *** 今天我们换一个方式来分析这个漏洞，从渗透的角度去搞。 渗透过程 测试漏洞 先来看看，观察URL是：http://192.168.195.195/bWAPP/phpi.php message像是有链接，点击看看 在查看url ...