---恢复内容开始---# 背景 *** *** 今天我们换一个方式来分析这个漏洞，从渗透的角度去搞。 渗透过程 测试漏洞 先来看看，观察URL是：http://192.168.195.195/bWAPP/phpi.php message像是有链接，点击看看 在查看url ...

背景 由于时间限制和这俩漏洞也不是特别常用，在这里就不搭建环境了，我们从注入原来和代码审计的角度来看看。 邮件头注入 注入原理： 这个地方首先要说一下邮件的结构，分为信封（MAIL FROM、RCPT TO）、头部（From，To，Subject、CC、BCC等）、主体 ...

背景 模拟环境还是 bWAPP，只不过这个bWAPP的SQL注入有点多，一一写意义不大，在这边就利用这个环境来尝试一些SQL注入的技巧。并研究下PHP的防御代码。 普通的bWAPPSQL注入的简单介绍 从get型search到CAPTCHA 简单级 ...

前言 过年过的很不顺，家里领导和我本人接连生病，年前腊月29才都治好出院，大年初六家里的拉布拉多爱犬又因为细小医治无效离开了，没能过年回家，花了好多钱，狗狗还离世了。所以也就没什么心思更新博客。今天初七，正式上班了，更新一篇吧，把bWAPP中常见的web漏洞也就一次性更新完毕，完成 ...

0x00 背景 SSI是英文"Server Side Includes"的缩写，翻译成中文就是服务器端包含的意思。SSI是用于向HTML页面提供动态内容的Web应用程序上的指令。 它们与CGI类似，不同之处在于SSI用于在加载当前页面之前或在页面可视化时执行某些操作。 为此，Web服务器在将页面 ...

浅析XML注入 认识XML DTD XML注入 XPath注入 XSL和XSLT注入 前言前段时间学习了.net，通过更改XML让连接数据库变得更方便，简单易懂，上手无压力，便对XML注入这块挺感兴趣的，刚好学校也开了XML课程，忍不住花时间研究了一下 首先认识 ...

之前在做项目的时候有遇到一些安全问题，XSS注入就是其中之一 那么，什么是XSS注入呢？ XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码，而程序对于用户输入内容未过滤，当用户浏览该页之时，嵌入其中Web里面的脚本代码 ...

Web网站最头痛的就是遭受攻击。Web很脆弱，所以基本的安防工作，我们必须要了解! 所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 通过一下的例子更形象的了解SQL注入： 有一个Login画面，在这个Login ...