前言 之前的文章都是写的SQL注入，命令执行，文件上传等一步到位的高危漏洞原理及防御，接下来说一说逻辑漏洞，因为现在工具的大量使用，之前的那些主流漏洞，很难被轻易利用了，逻辑漏洞不一样，工具不会思考，所以应用程序有逻辑缺陷，工具很难发现，需要人为去挖掘，接下来就简单说一说，如何来进行逻辑漏洞 ...

本文写于2020年初,于2021年由CSDN迁移博客至此. 0x00 StrandHogg漏洞详情 StrandHogg漏洞 CVE编号:至本文编写完毕时仍暂无编号 [漏洞危害] 近日,Android平台上发现了一个高危漏洞 该漏洞允许攻击者冒充任意合法应用,诱导受害者授予恶意应用权限 ...

(eg:Spring Boot)。 初始化(init)：实例化后会立马进行初始化，也就是执行init方 ...

SSRF漏洞 SSRF漏洞 SSRF意为服务端请求伪造(Server-Side Request Forge)。攻击者利用SSRF漏洞通过服务器发起伪造请求，就这样可以访问内网的数据，进行内网信息探测或者内网漏洞利用 SSRF漏洞形成的原因是:应用程序存在可以从其他服务器获取数据的功能 ...

Heartbleed心脏出血漏洞原理分析 2017年01月14日 18:14:25 阅读数：2718 1. 概述    OpenSSL在实现TLS和DTLS的心跳处理逻辑时，存在编码缺陷。OpenSSL的心跳处理逻辑 ...

前言 1 前言 XXE漏洞 XXE漏洞全称(XML External Entity Injection)即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击 ...

感觉百度百科 针对XSS的讲解，挺不错的，转载一下~ XSS攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意 ...

缓冲区溢出： 前提： 一般发生在C这种需手工管理内存的语言编写的程序中 原理： 进程分控制层面和数据层面两个部分，每个部分各占一部分内存。 当程序没有对数据层面内存大小做限制时，输入一个超过数据内存大小的数据就会发生数据层面的数据把控制层面内存覆盖的情况，此时 ...