SSRF漏洞是如何产生的？ SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。（因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标 ...

0x00 xss漏洞简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法， 那么很可能就存在XSS漏洞。 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到 ...

CSRF漏洞原理浅谈 By : Mirror王宇阳 E-mail : mirrorwangyuyang@gmail.com 笔者并未深挖过CSRF，内容居多是参考《Web安全深度剖析》、《白帽子讲web安全》等诸多网络技术文章 CSRF跨站请求攻击，和XSS有相似之处；攻击者 ...

前言： 看完小迪老师的CSRF漏洞讲解。感觉不行 就自己百度学习。这是总结出来的。 歌曲： 正文： CSRF与xss和像，但是两个是完全不一样的东西。 xss攻击（跨站脚本攻击）储存型的XSS由攻击者和受害者一同完成 ...

背景 某天在逛expdb时候看到了CSV Injection的exp，在渗透测试的过程中也偶尔会遇到类似的情况，这一漏洞很早之前就出现过，但是很多人没有意识到漏洞的危害性，于是抱着学习的心态进行了一波漏洞复现和学习。 漏洞介绍 CSV公式注入(CSV Injection）是一种会造成 ...

SSRF漏洞是如何产生的？ SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离 ...

越权漏洞是一种很常见的逻辑安全漏洞。是由于服务器端对客户提出的数据操作请求过分信任，忽略了对该用户操作权限的判定，导致修改相关参数就可以拥有了其他账户的增、删、查、改功能，从而导致越权漏洞。 1、 分类 根据对数据库的操作进行分类，可以分为以下几类：越权查询、越权删除、越权修改、越权 ...

一、什么是RCE漏洞 远程命令/代码执行漏洞（remote command/code execute），简称RCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。 RCE分为远程命令执行ping和远程代码执行evel。 二、RCE漏洞产生的根本原因 是因为 ...