目錄遍歷漏洞概述 在web功能設計中,很多時候我們會要將需要訪問的文件定義成變量，從而讓前端的功能便的更加靈活。 當用戶發起一個前端的請求時，便會將請求的這個文件的值(比如文件名稱)傳遞到后台，后台 ...

環境搭建 由於我們之前做過sqli-labs和DVWA的練習，本地搭建的環境phpstudy已經完善（如果沒有安裝phpstudy,可以安裝phpstudy或者xampp）所以我們只要將pikachu的包放入WWW文件夾下即可 在inc文件夾下查看config.inc.php文件 ...

1）Burp suite運行環境搭建、下載在Windous操作系統下運行Burpsuite需要配置Java環境，這里可以去官網進行下載安裝，下載完成后注意改變環境變量。在cmd運行輸入java、javac數據都有相應反饋時，則證明Java環境配置成功。Java環境配置完成即可進行Burpsuite ...

敏感信息泄露概述 由於后台人員的疏忽或者不當的設計，導致不應該被前端用戶看到的數據被輕易的訪問到。 比如：---通過訪問url下的目錄，可以直接列出目錄下的文件列表;---輸入錯誤的url參數后報錯 ...

題目鏈接：http://127.0.0.1/pikachu-master/vul/sqli/sqli_id.php 題目來源：pikachu-->SQL-inject-->數字型注入（post） 任意提交數據，使用bp抓包得到post方式提交的參數為 id=1& ...

本篇blog導航 ~暴力破解&暴力破解漏洞概述 ~基於表單的暴力破解實驗 ~暴力破解的繞過和防范（驗證碼&Token） ~驗證碼的基礎知識 ~驗證碼繞過（on ...

一、文件包含漏洞概述 在web后台開發中，程序員往往為了提高效率以及讓代碼看起來簡潔，會使用"包含"函數功能。例如把一些功能函數都寫進fuction.php中，之后當某個文件需要調用的時 ...

簡單介紹pikachu平台搭建過程 1、下載phpstudy 2、安裝及打開軟件 啟動apache、mysql 然后這個時候進入http://localhost或者127.0.0.1就可以看到搭建成功 3、pikachu測試平台 ...