SSRF漏洞 SSRF漏洞 SSRF意為服務端請求偽造(Server-Side Request Forge)。攻擊者利用SSRF漏洞通過服務器發起偽造請求，就這樣可以訪問內網的數據，進行內網信息探測或者內網漏洞利用 SSRF漏洞形成的原因是:應用程序存在可以從其他服務器獲取數據的功能 ...

前言 XSS漏洞 Xss（Cross-Site Scripting）意為跨站腳本攻擊,為了不和層疊樣式表(Cascading Style Sheets,CSS)的縮寫混淆，故將跨站腳本攻擊縮寫為XSS。XSS漏洞是一種在WEB應用中常見的安全漏洞，它孕育用戶將惡意代碼植入web頁面 ...

前言 起來吃完早飯就開始刷攻防世界的題，一個簡單的文件包含題我竟然都做不出來我服了 拿出買的書開始從頭學習總結文件包含漏洞！ 一、文件包含漏洞 文件包含漏洞 文件包含函數的參數沒有經過過濾或者嚴格的定義，並且參數可以被用戶控制，這樣就可能包含非預期文件。如果文件中存在惡意代碼，無論文 ...

前言 PHP命令執行漏洞 應用程序的某些功能功能需要調用可以執行系統命令的函數，如果這些函數或者函數的參數被用戶控制，就有可能通過命令連接符將惡意命令拼接到正常的函數中，從而隨意執行系統命令，這就是命令執行漏洞。 基本函數 1.system()用於執行外部程序，並且顯示輸出 ...

內容大綱： 一、文件解析漏洞 二、上傳本地驗證繞過 三、上傳服務器端驗證繞過 四、漏洞高級玩法 五、上傳漏洞修復 一、文件解析漏洞 概念： 黑客將惡意文件上傳到服務器中解析漏洞主要說的是一些特殊文件被iis、apache、nginx在某種情況下解釋成腳本文件格式的漏洞 ...

前言 這幾天一直在關注新管狀病毒，從微博到各大公眾號朋友圈了解感覺挺嚴重的看微博感覺特別嚴重看官方說法感覺還行那就取中間的吧 自己要會對這個東西要有理性的判斷。關注了好兩天所以耽擱了學習emmm 希望病毒早點過去吧！ 反序列化漏洞 序列化和反序列化 為了有效地存儲或傳遞數據，同時不丟失 ...

為什么你什么都沒干，但QQ空間中卻發了很多小廣告？也許你的QQ賬號已經被盜。本文將講解一個QQ的快速登錄的原理。 而利用這個原理最終可以實現，只要你點擊一個頁面或運行過一個程序，那么我就可以擁有你的登錄權限。可以直接進你郵箱，進你微雲，進你QQ空間等.... 看懂本篇需要一點點web安全 ...

為什么你什么都沒干，但QQ空間中卻發了很多小廣告？也許你的QQ賬號已經被盜。本文將講解一個QQ的快速登錄的漏洞。 我前陣子在論壇上看到一個QQ的快速登錄的漏洞，覺得非常不錯，所以把部分原文給轉到園子來。 而利用這個漏洞最終可以實現，只要你點擊一個頁面或運行過一個程序，那么我就可以擁有你的登錄 ...