注：以下漏洞示例已由相关厂商修复，切勿非法测试！ 0x01 漏洞挖掘 01 注册 注册中最常见的有两个，一个是恶意注册，另一个是账户遍历。一个好的注册界面应该是这样 或者这样的 而不是这样的 要么使用短信或邮箱进行验证，要么存在难以 ...

Web安全测试中常见逻辑漏洞解析（实战篇） 简要： 越权漏洞是比较常见的漏洞类型，越权漏洞可以理解为，一个正常的用户A通常只能够对自己的一些信息进行增删改查，但是由于程序员的一时疏忽，对信息进行增删改查的时候没有进行一个判断，判断所需要操作的信息是否属于对应的用户，导致用户A可以操作其他人 ...

渗透测试中常见的端口 在渗透中端口扫描的收集主机那些那些服务很重要,这里收集到一些常见的的服务端口,也是笔者慢慢收集起来的,分享出来大家借鉴一下,也欢迎补充 1,web类(web漏洞/敏感目录) 第三方通用组件漏洞struts thinkphp jboss ganglia ...

爬行：AWVS、BP、菜刀 常见的目录： 　　editor、edit、upfile.asp、up.h ...

一、SQL注入漏洞 SQL注入攻击（SQL Injection），简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃 ...

Xss介绍—— XSS (cross-site script) 跨站脚本自1996年诞生以来，一直被OWASP(open web application security project) 评为十大安全漏洞中的第二威胁漏洞。也有黑客把XSS当做新型的“缓冲区溢出攻击”而JavaScript是新型 ...

这个值 <%eval request(“value”)%>（现在比较常见，而且字符少，对表 ...

0x01 敏感信息泄露  信息泄漏是指在正常情况下不能被普通用户访问的敏感信息没有被应用程序所保护，能够直接访问。就web来说这种类型的问题往往会带来巨大的危害，攻击者不仅可以轻松收集用户手机号，姓名等隐私信息，更可以借此攻入企业后台甚至是getshell。下面介绍一些常见的web信息泄漏漏洞 ...