SQL注入,就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串,最終達到欺騙服務器執行惡意的SQL命令,它是利用現有應用程序將(惡意的)SQL命令注入到后台數據庫引擎執行的能力,它可以通過在Web表單中輸入SQL語句得到一個存在安全漏洞的網站上的數據庫,而不是按照設計者意圖 ...

本文首發於“合天智匯”公眾號，作者：threepwn 0x01 前言 和我一樣，有一些計算機專業的同學可能一直都在不停地碼代碼，卻很少關注程序是怎么執行的，也不會考慮到自己寫的代碼是否會存在棧溢出漏洞，借此機會我們一起走進棧溢出。 0x02 程序 ...

漏洞檢測工具： https://github.com/rabbitmask/WeblogicScan 漏洞利用工具： https://github.com/21superman/weblogic_exploit （暫不支持CVE-2019-2890） ...

通常我們的開發人員在開發過程中會特別注意到防止惡意用戶進行惡意的注入操作，因此會對傳入的參數進行適當的過濾，但是很多時候，由於個人對安全技術了解的不同，有些開發人員只會對get,post這種方式提交的數據進行參數過濾。 但我們知道，很多時候，提交數據並非僅僅只有get\post這兩種方式 ...

緩沖區溢出漏洞的原理及其利用實戰 溫馨提示： 本文章的圖片十分重要，一定要認真的閱讀。 可以把該圖片下載下來，這樣的話圖片會非常清晰（右鍵->另存為）。 1. 實驗環境 操作場景 windows xp sp2 ...

CSRF漏洞的手動判定：修改referer頭或直接刪除referer頭，看在提交表單時，網站是否還是正常響應。 下面演示用Burpsuite對CSRF進行鑒定。 抓包。 成功修改密碼完成漏洞的利用。 ...

0x01概述 XXE（外部實體注入）是XML注入的一種，普通的XML注入利用面比較狹窄，如果有的話也是邏輯類漏洞。XXE擴大了攻擊面。 當允許引用外部實體時，就可能導致任意文件讀取、系統命令執行、內網端口探測、攻擊內網網站等危害。 防御方法：禁用外部實體（PHP ...

20155306 白皎 0day漏洞——漏洞利用原理之棧溢出利用 一、系統棧的工作原理 1.1內存的用途 根據不同的操作系統，一個進程可能被分配到不同的內存區域去執行。但是不管什么樣的操作系統、什么樣的計算機架構，進程使用的內存都可以按照功能大致分為以下4個部分： 　代碼區 ...