分类目录归档:web安全

XSS实例

Cross Site Script

攻击者利用应用程序的动态展示数据功能,在 html 页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在 html 中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。

1.分类

  • 👻反射型跨站脚本攻击
    攻击者会通过社会工程学手段,[……]

    继续阅读

🐱‍🚀中间件加固

🐱‍🚀中间件加固:iis

  • 启动(网站都已dvbbs作为示范) 程序–管理工具–iis服务管理器–网站—dvbbs—右键–属性
  1. 修改默认日志的路径:网站—配置—d:\dvbbslog:权限:仅system可读写,administrator:读
    日志分析工具:星图ful[……]

    继续阅读

🙋🏽‍♂️sqlmap的使用 🧪 🎯

sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,日前支持的数据库是MS-SQL,,MYSQL,ORACLE,POSTGRESQL,DB2,SQLlite,FIrebird。SQLMAP采用四种独特的SQL注入技术,分别是盲推理SQL注入,UNION查询SQL注入,堆查询和基于时间的SQL盲注入。其广泛的功能和选项包括数据库指纹,枚举,数据库提取,访问目标文件系统,并在获取完全操作权限时实行任意命令。sqlmap的功能强大到让你惊叹,常规注入工具不能绕过的话,终极使用sqlmap会有意想不到的效果。[……]

继续阅读

🙋序列化➕反序列化☣️

序列化与反序列化时相对于对象来说的,在很多应用中让他们需要将存在内存中的对象离开内存,从而进入硬盘以便长期保存。例如在web服务器中session对象中,当有10万用户并发访问的时候,就有10万个session对象,此时内存可能吃不消,于是web容器就把一些session先序列化到硬盘中,等再要用的时候再再硬盘中反序列到内存中。[……]

继续阅读

📁文件上传漏洞🍉

文件上传漏洞👨‍✈️

1.简介👆

文件上传漏洞就是说用户上传了一个可以执行的脚本文件,并通过这个文件拿到了执行服务器端命令的能力,正常情况下上传功能是一个正常业务需求,对于网站来说,很多时候确实需要用户将文件上传到服务器中,但是由于往回走那对上传部分控制不足或者存在缺陷,从而导致用户可以越过其本[……]

继续阅读