0x01 漏洞挖掘 01 注冊 注冊中最常見的有兩個，一個是惡意注冊，另一個是賬戶遍歷。一個好的注冊界面應該是這樣 或者這樣的 而不是這樣的 要么使用短信或郵箱進行驗證，要么存在難以識別的驗證碼，使得注冊的請求無法批量提交。那么賬戶遍歷是什么 ...

Web安全測試中常見邏輯漏洞解析（實戰篇） 簡要： 越權漏洞是比較常見的漏洞類型，越權漏洞可以理解為，一個正常的用戶A通常只能夠對自己的一些信息進行增刪改查，但是由於程序員的一時疏忽，對信息進行增刪改查的時候沒有進行一個判斷，判斷所需要操作的信息是否屬於對應的用戶，導致用戶A可以操作其他人 ...

滲透測試中常見的端口 在滲透中端口掃描的收集主機那些那些服務很重要,這里收集到一些常見的的服務端口,也是筆者慢慢收集起來的,分享出來大家借鑒一下,也歡迎補充 1,web類(web漏洞/敏感目錄) 第三方通用組件漏洞struts thinkphp jboss ganglia ...

爬行：AWVS、BP、菜刀 常見的目錄： 　　editor、edit、upfile.asp、up.h ...

一、SQL注入漏洞 SQL注入攻擊（SQL Injection），簡稱注入攻擊、SQL注入，被廣泛用於非法獲取網站控制權，是發生在應用程序的數據庫層上的安全漏洞。在設計程序，忽略了對輸入字符串中夾帶的SQL指令的檢查，被數據庫誤認為是正常的SQL指令而運行，從而使數據庫受到攻擊，可能導致數據被竊 ...

Xss介紹—— XSS (cross-site script) 跨站腳本自1996年誕生以來，一直被OWASP(open web application security project) 評為十大安全漏洞中的第二威脅漏洞。也有黑客把XSS當做新型的“緩沖區溢出攻擊”而JavaScript是新型 ...

這個值 <%eval request(“value”)%>（現在比較常見，而且字符少，對表 ...

0x01 敏感信息泄露  信息泄漏是指在正常情況下不能被普通用戶訪問的敏感信息沒有被應用程序所保護，能夠直接訪問。就web來說這種類型的問題往往會帶來巨大的危害，攻擊者不僅可以輕松收集用戶手機號，姓名等隱私信息，更可以借此攻入企業后台甚至是getshell。下面介紹一些常見的web信息泄漏漏洞 ...