前言 为了找工作，巩固巩固知识。本文会介绍 csv 注入漏洞的原理，最后给出一个示例。 正文 在 csv 文件 和 xlsx 文件中的每一项的值如果是 =, @, +, - 就会被 excel 识别为一个 公式， 此时可以注入 系统命令 实现 命令执行。 常用 payload ...

1、漏洞理解 点击劫持（Click Jacking）是一种视觉上的欺骗手段，攻击者通过使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，通过调整iframe页面的位置，可以使得伪造的页面恰好和iframe里受害页面里一些功能重合（按钮），以达到窃取用户信息或者劫持用户 ...

背景 某天在逛expdb时候看到了CSV Injection的exp，在渗透测试的过程中也偶尔会遇到类似的情况，这一漏洞很早之前就出现过，但是很多人没有意识到漏洞的危害性，于是抱着学习的心态进行了一波漏洞复现和学习。 漏洞介绍 CSV公式注入(CSV Injection）是一种会造成 ...

0X00 前言 这个案例是某项目的漏洞，涉及敏感的地方将会打码。 很久没更新博客了，放一篇上来除除草，新的一年会有所转变，以后会有更多领域的研究。 下面是正文 0X01 正文 某厂商某个网站用的是thinkcmf 2.2.3。 thinkcmf 2.2.3系统是存在漏洞 ...

系统中安全性是非常重要的，为了保证安全性很多解决方案被应用到系统中，比如架设防火墙防止数据库服务器直接暴露给外部访问者、使用数据库的授权机制防止未授权的用户访问数据库，这些解决方案可以很大程度上避免了系统受攻击，但是如果开发人员不注意SQL的安全性造成了SQL注入漏洞，那么所有的这些解决方案 ...

日期：2019-07-23 19:55:59 更新：2019-08-02 10:40:37 作者：Bay0net 介绍：Mysql 注入笔记 0x01、 基本信息 1.1 基本术语 数据库: 数据库是一些关联表的集合。 数据表: 表是数据的矩阵。在一个数据库中的表 ...

“对于网络安全来说，一切的外部输入均是不可信的”。但是CSV文件注入漏洞确时常被疏忽，究其原因，可能是因为我们脑海里的第一印象是把CSV文件当作了普通的文本文件，未能引起警惕。 一、漏洞定义 攻击者通过在CSV文件中构造恶意的命令或函数，使得正常用户在使用Excel打开这个CSV文件后 ...

的命令时更是如此。如果使用了被污染数据，命令注入漏洞就产生了。 命令注入攻击 PHP中可以使用下列5个 ...