前言 1 前言 XXE漏洞 XXE漏洞全稱(XML External Entity Injection)即xml外部實體注入漏洞，XXE漏洞發生在應用程序解析XML輸入時，沒有禁止外部實體的加載，導致可加載惡意外部文件，造成文件讀取、命令執行、內網端口掃描、攻擊內網網站、發起dos攻擊 ...

前言 Portswigger是Burpsuite的官網，也是一個非常好的漏洞訓練平台。其Web安全靶場地址為：https://portswigger.net/web-security/ 該靶場的訓練內容側重於對Burpsuite各項功能的深入挖掘，這也是《黑客攻防技術寶典Web實戰篇》的實戰 ...

漏洞描述 SSRF（Server-Side Request Forgery，服務器端請求偽造）：通俗的來說就是我們可以偽造服務器端發起的請求，從而獲取客戶端所不能得到的數據。SSRF漏洞形成的原因主要是服務器端所提供的接口中包含了所要請求的內容的URL參數，並且未對客戶端所傳輸過來的URL參數 ...

什么是SSRF漏洞 SSRF(服務器端請求偽造)是一種由攻擊者構造請求，服務器端發起請求的安全漏洞，所以，一般情況下，SSRF攻擊的目標是外網無法訪問的內部系統。 SSRF漏洞形成原理。 SSRF的形成大多數是由於服務端提供了從其他服務器應用獲取數據的功能且沒有對目標地址做過濾和限制 ...

ssrf漏洞分析 關於ssrf 首先簡單的說一下我理解的ssrf，大概就是服務器會響應用戶的url請求，但是沒有做好過濾和限制，導致可以攻擊內網。 ssrf常見漏洞代碼 首先有三個常見的容易造成ssrf漏洞的函數需要注意 下面是本地搭建環境測試 ...

前言 起來吃完早飯就開始刷攻防世界的題，一個簡單的文件包含題我竟然都做不出來我服了 拿出買的書開始從頭學習總結文件包含漏洞！ 一、文件包含漏洞 文件包含漏洞 文件包含函數的參數沒有經過過濾或者嚴格的定義，並且參數可以被用戶控制，這樣就可能包含非預期文件。如果文件中存在惡意代碼，無論文 ...

前言 XSS漏洞 Xss（Cross-Site Scripting）意為跨站腳本攻擊,為了不和層疊樣式表(Cascading Style Sheets,CSS)的縮寫混淆，故將跨站腳本攻擊縮寫為XSS。XSS漏洞是一種在WEB應用中常見的安全漏洞，它孕育用戶將惡意代碼植入web頁面 ...

直接定位SearchPublicRegistries.jsp文件，47行接受輸入的變量。 結果輸出位置在120行 SearchPublicRegistries.jsp引入com.bea.uddi ...