SSRF漏洞 SSRF漏洞 SSRF意为服务端请求伪造(Server-Side Request Forge)。攻击者利用SSRF漏洞通过服务器发起伪造请求，就这样可以访问内网的数据，进行内网信息探测或者内网漏洞利用 SSRF漏洞形成的原因是:应用程序存在可以从其他服务器获取数据的功能 ...

前言 XSS漏洞 Xss（Cross-Site Scripting）意为跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。XSS漏洞是一种在WEB应用中常见的安全漏洞，它孕育用户将恶意代码植入web页面 ...

前言 起来吃完早饭就开始刷攻防世界的题，一个简单的文件包含题我竟然都做不出来我服了 拿出买的书开始从头学习总结文件包含漏洞！ 一、文件包含漏洞 文件包含漏洞 文件包含函数的参数没有经过过滤或者严格的定义，并且参数可以被用户控制，这样就可能包含非预期文件。如果文件中存在恶意代码，无论文 ...

前言 PHP命令执行漏洞 应用程序的某些功能功能需要调用可以执行系统命令的函数，如果这些函数或者函数的参数被用户控制，就有可能通过命令连接符将恶意命令拼接到正常的函数中，从而随意执行系统命令，这就是命令执行漏洞。 基本函数 1.system()用于执行外部程序，并且显示输出 ...

内容大纲： 一、文件解析漏洞 二、上传本地验证绕过 三、上传服务器端验证绕过 四、漏洞高级玩法 五、上传漏洞修复 一、文件解析漏洞 概念： 黑客将恶意文件上传到服务器中解析漏洞主要说的是一些特殊文件被iis、apache、nginx在某种情况下解释成脚本文件格式的漏洞 ...

前言 这几天一直在关注新管状病毒，从微博到各大公众号朋友圈了解感觉挺严重的看微博感觉特别严重看官方说法感觉还行那就取中间的吧 自己要会对这个东西要有理性的判断。关注了好两天所以耽搁了学习emmm 希望病毒早点过去吧！ 反序列化漏洞 序列化和反序列化 为了有效地存储或传递数据，同时不丢失 ...

为什么你什么都没干，但QQ空间中却发了很多小广告？也许你的QQ账号已经被盗。本文将讲解一个QQ的快速登录的原理。 而利用这个原理最终可以实现，只要你点击一个页面或运行过一个程序，那么我就可以拥有你的登录权限。可以直接进你邮箱，进你微云，进你QQ空间等.... 看懂本篇需要一点点web安全 ...

为什么你什么都没干，但QQ空间中却发了很多小广告？也许你的QQ账号已经被盗。本文将讲解一个QQ的快速登录的漏洞。 我前阵子在论坛上看到一个QQ的快速登录的漏洞，觉得非常不错，所以把部分原文给转到园子来。 而利用这个漏洞最终可以实现，只要你点击一个页面或运行过一个程序，那么我就可以拥有你的登录 ...