---恢復內容開始---# 背景 *** *** 今天我們換一個方式來分析這個漏洞，從滲透的角度去搞。 滲透過程 測試漏洞 先來看看，觀察URL是：http://192.168.195.195/bWAPP/phpi.php message像是有鏈接，點擊看看 在查看url ...

背景 由於時間限制和這倆漏洞也不是特別常用，在這里就不搭建環境了，我們從注入原來和代碼審計的角度來看看。 郵件頭注入 注入原理： 這個地方首先要說一下郵件的結構，分為信封（MAIL FROM、RCPT TO）、頭部（From，To，Subject、CC、BCC等）、主體 ...

背景 模擬環境還是 bWAPP，只不過這個bWAPP的SQL注入有點多，一一寫意義不大，在這邊就利用這個環境來嘗試一些SQL注入的技巧。並研究下PHP的防御代碼。 普通的bWAPPSQL注入的簡單介紹 從get型search到CAPTCHA 簡單級 ...

前言 過年過的很不順，家里領導和我本人接連生病，年前臘月29才都治好出院，大年初六家里的拉布拉多愛犬又因為細小醫治無效離開了，沒能過年回家，花了好多錢，狗狗還離世了。所以也就沒什么心思更新博客。今天初七，正式上班了，更新一篇吧，把bWAPP中常見的web漏洞也就一次性更新完畢，完成 ...

0x00 背景 SSI是英文"Server Side Includes"的縮寫，翻譯成中文就是服務器端包含的意思。SSI是用於向HTML頁面提供動態內容的Web應用程序上的指令。 它們與CGI類似，不同之處在於SSI用於在加載當前頁面之前或在頁面可視化時執行某些操作。 為此，Web服務器在將頁面 ...

淺析XML注入 認識XML DTD XML注入 XPath注入 XSL和XSLT注入 前言前段時間學習了.net，通過更改XML讓連接數據庫變得更方便，簡單易懂，上手無壓力，便對XML注入這塊挺感興趣的，剛好學校也開了XML課程，忍不住花時間研究了一下 首先認識 ...

之前在做項目的時候有遇到一些安全問題，XSS注入就是其中之一 那么，什么是XSS注入呢？ XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意腳本代碼，而程序對於用戶輸入內容未過濾，當用戶瀏覽該頁之時，嵌入其中Web里面的腳本代碼 ...

Web網站最頭痛的就是遭受攻擊。Web很脆弱，所以基本的安防工作，我們必須要了解! 所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。 通過一下的例子更形象的了解SQL注入： 有一個Login畫面，在這個Login ...