File Upload，即文件上傳。文件上傳漏洞通常是由於對上傳文件的類型、內容沒有進行嚴格的過濾、檢查，使得攻擊者可以通過上傳木馬獲取服務器的webshell權限，因此文件上傳漏洞帶來的危害常常是毀滅性的。 先看常規的文件上傳操作： 客戶端上傳： 在HTML < ...

File Inclusion（文件包含） File Inclusion（文件包含），是指當服務器開啟了allow_url_include選項時，通過一些PHP的特性函數（比如：include()，require()，include_once()和require_once()）利用URL去動態 ...

DVWA靶場通關----（1）Brute Force教程 DVWA靶場通關----（2）Command Injection教程 DVWA靶場通關----（3）CSRF教程 DVWA靶場通關----（4）File Inclusion教程 DVWA靶場通關----（5）File Upload ...

CSRF（跨站請求偽造） CSRF（跨站請求偽造），全稱為Cross-site request forgery，簡單來說，是攻擊者利用受害者尚未失效的身份認證信息，誘騙受害者點擊惡意鏈接或含有攻擊代 ...

日期：2019-08-01 17:28:33 更新： 作者：Bay0net 介紹： 0x01、 漏洞介紹 在滲透測試過程中，能夠快速獲取服務器權限的一個辦法。 如果開發者對上傳 ...

Insecure CAPTCHA（不安全的驗證碼） Insecure CAPTCHA（不安全的驗證碼），CAPTCHA全稱為Completely Automated Public Turing Te ...

SQL Injection（SQL注入） SQL Injection（SQL注入），是指攻擊者通過注入惡意的SQL命令，破壞SQL查詢語句的結構，從而達到執行惡意SQL語句的目的。SQL注入漏洞的危 ...

Command Injection（命令注入） Command Injection（命令注入），就是指通過提交一些惡意構造的參數破壞命令語句結構，從而達到執行惡意命令的目的。 Command In ...