0x00 XML基礎 在介紹xxe漏洞前，先學習溫顧一下XML的基礎知識。XML被設計為傳輸和存儲數據，其焦點是數據的內容，其把數據從HTML分離，是獨立於軟件和硬件的信息傳輸工具。 0x01 XML文檔結構 XML文檔結構包括XML聲明、DTD文檔類型定義（可選）、文檔元素 ...

0x01 Weblogic簡介 1.1 敘述 Weblogic是美國Oracle公司出品的一個應用服務器(application server)，確切的說是一個基於Java EE架構的中間件，是用於開發、集成、部署和管理大型分布式Web應用、網絡應用和 數據庫應用的Java應用服務器 ...

CSRF是什么？ CSRF（Cross Site Request Forgery），中文是跨站點請求偽造。CSRF攻擊者在用戶已經登錄目標網站之后，誘使用戶訪問一個攻擊頁面，利用目標網站對用戶的信任，以用戶身份在攻擊頁面對目標網站發起偽造用戶操作的請求，達到攻擊目的。 舉個例子 簡單版 ...

通過HTTP頭部字段防御措施整理 X-Frame-Options #反劫持 X-XSS-Protection #開啟瀏覽器防XSS功能 Set X-Frame-Options CSP X-Content-Type-Options: nosniff #改會影響瀏覽器的行為 ...

，javascript，http頭所以都可能發生相應上下文的漏洞，如xss等等，但是同時，即使只是對於URL跳 ...

一 前言： 在針對web的攻擊中，攻擊者想要取得webshell，最直接的方式就是將web木馬插入服務器端進行成功解析，那么如何歷劫成功解析？假設服務器為php語言結構，那么針對上傳點就是利用PHP木馬，並且要求木馬的后綴為.php進行保存。因此，上傳木馬的過程中就是在web系統 ...

　　最近在維護一些老項目，調試時發現請求屢屢被拒絕，仔細看了一下項目的源碼，發現有csrf token校驗，借這個機會把csrf攻擊學習了一下，總結成文。本文主要總結什么是csrf攻擊以及有哪些方法來防范，接下來會再寫一篇文章，從源碼中來學習一下實戰中是如何防御csrf攻擊的。 　　主要內容 ...

今天看到一篇公眾號文章寫的關於中間件漏洞的整理，里面有部分是我不知道的，轉載一下， https://mp.weixin.qq.com/s/2rSNjMxHZjAGMmzKStF28w 第一章：IIS IIS 6 解析漏洞 ...