CSRF簡介 CSRF 是 Cross Site Request Forgery 的 簡稱，中文名為跨域請求偽造在CSRF的攻擊場景中，攻擊者會偽造一個請求（一般是一個鏈接）然后欺騙目標用戶進行點擊 ...

暴力破解 概述 Burte Force（暴力破解）概述 “暴力破解”是一攻擊具手段，在web攻擊中，一般會使用這種手段對應用系統的認證信息進行獲取。 其過程就是使用大量的認證信息在認證接口進行嘗試登錄，直到得到正確的結果。 為了提高效率，暴力破解一般會使用帶有字典的工具來進行自動化 ...

概述 由於沒有對用戶權限進行嚴格的判斷 導致低權限的賬號（比如普通用戶）可以去完成高權限賬號（比如超管）范圍內的操作 水行越權：A用戶和B用戶屬於同一級別用戶，但各自不能操作對方個人信息。A用戶如果越權操作B用戶個人信息的情況稱為水行越權操作。 垂直越權：A用戶權限高於B用戶，B用戶越權 ...

pikachu滲透測試平台搭建 對於學習滲透測試的人來說，找到一個目標用來練習滲透測試技術很重要，尤其是現在國家在這方面的監管很嚴格，所以搭建一個滲透測試平台用來練習是很多學習滲透測試的人特別是初學者的最佳選擇。現在就為大家介紹一下pikachu這個滲透測試平台的搭建。 介紹 ...

概述 發生原因 SQL注入漏洞，主要是開發人員在構建代碼時，沒有對輸入邊界進行安全考慮，導致攻擊者可以通過合法的輸入點提交一些精心構造的語句，從而欺騙后台數據庫對其進行執行，導致數據庫信息泄漏的一種漏洞。 比如我們期望用戶輸入整數的id，但是用戶輸入了上圖中下面的語句，這是條能被正常執行 ...

概述 CSRF 是 Cross Site Request Forgery 的 簡稱，中文名為跨域請求偽造 在CSRF的攻擊場景中，攻擊者會偽造一個請求（一般是一個鏈接） 然后欺騙目標用戶進行點擊，用戶一旦點擊了這個請求，這個攻擊也就完成了 所以CSRF攻擊也被稱為“one ...

概述 RCE（Remote Command/Code Execute） 給攻擊者向后台服務器遠程注入操作系統命令或者代碼，從而控制后台系統。 遠程系統命令執行一般出現這種漏洞，是因為應用系統從設計上需要給用戶提供指定的遠程命令操作的接口比如我們常見的路由器、防火牆、入侵檢測等設備的web管理 ...

概述 簡介 XSS是一種發生在Web前端的漏洞，所以其危害的對象也主要是前端用戶 XSS漏洞可以用來進行釣魚攻擊、前端js挖礦、盜取用戶cookie，甚至對主機進行遠程控制 攻擊流程 假設存在漏洞的是一個論壇，攻擊者將惡意的JS代碼通過XSS漏洞插入到論文的某一 ...