- 2024-09-02【甲方安全建设】富文本编辑器XSS漏洞攻击及防御详析
原创文章,禁止转载。目录调研背景搭建TinyMCE富文本编辑器靶场富文本编辑器前端过滤富文本编辑器后端攻击后端弱过滤弱过滤1弱过滤2后端有效过滤从甲方的视角看动态安全调研背景随着Web2.0技术的普及,富文本编辑器在各种Web应用中得到了广泛应用,用户、网站管理员等可以通过富
- 2023-11-10压缩包Zip格式详析(全网最详细)
原文:https://blog.csdn.net/qq_43278826/article/details/118436116【前言】 Android的安装包.apk实际上就是个zip格式的压缩包,所以在了解apk签名之前,有必要先来探索一下zip格式压缩包的结构一、Zip格式结构图总览 二、Zip文件结构详解zip格式压缩包主要由
- 2023-06-17[网络安全] DVWA之 Command Injection 攻击姿势及解题详析合集
CommandInjection命令注入(CommandInjection)是一种安全漏洞,发生在应用程序使用用户提供的输入作为系统命令的一部分而未经充分验证和过滤的情况下。当应用程序在构造系统命令时,如果没有对用户输入进行适当的验证和过滤,攻击者可以通过在用户输入中插入恶意命令来执行任意系统命
- 2023-06-16[网络安全] DVWA之CSRF攻击姿势及解题详析合集
CSRFCSRF(Cross-SiteRequestForgery,跨站请求伪造)是一种常见的Web应用程序安全漏洞,它利用了用户在已认证的网站中的身份,通过欺骗用户发起非预期的请求。攻击者会构造一个恶意网页,使用户在浏览器中访问该网页时,自动向目标网站发送了未经用户授权的请求。CSRF攻击的原理是利用了W
- 2023-05-02[网络安全]AntSword蚁剑实战解题详析
免责声明:本文仅分享AntSword渗透相关知识,不承担任何法律责任。请读者自行安装蚁剑,本文不再赘述。蚁剑介绍蚁剑(AntSword)是一款开源的跨平台WebShell管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。中国蚁剑的特点主要有如下几点:1.支持多平台
- 2023-05-02[网络安全]DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集
免责声明:本文仅分享SQL攻击相关知识,不承担任何法律责任。DVWA、BurpSuite请读者自行安装,本文不再赘述。同类文章参考:[网络安全]AntSword(蚁剑)实战解题详析(入门)FileUpload—lowlevel源码中无过滤:上传包含一句话木马<?php@eval($_POST[qiushuo]);?>的文件qiu.php回显
- 2023-05-02[网络安全]sqli-labs Less-2 解题详析
往期回顾:[[网络安全]sqli-labsLess-1解题详析](https://blog.csdn.net/2301_77485708/article/details/130410800?spm=1001.2014.3001.5502)判断注入类型GET1and1=1,回显如下:GET1and1=2,没有回显:说明该漏洞类型为整型注入。判断注入点个数GET1orderby3,回显如下:GE
- 2023-05-02[网络安全]sqli-labs Less-3 解题详析
判断注入类型GET1'and'1'='1,回显如下:GET1'and'1'='2:没有回显,说明该漏洞类型为GET型单引号字符型注入判断注入点个数GET1'orderby2--+,回显如下:由上图可知,sql语法中给$id加上了()猜测后端语句为SELECT*FROMxxwhereid=('$id')故构造GET1')orderby3-
- 2023-05-02[网络安全]sqli-labs Less-4 解题详析
判断注入类型GET1"and"1"="1,回显如下:GET1"and"1"="2没有回显,说明该漏洞类型为GET型双引号字符型注入判断注入点个数GET1"orderby3--+由上图可知,sql语法中给$id加上了()猜测后端语句为SELECT*FROMxxwhereid=("$id")故构造GET1')orderby3--+,此时后
- 2023-05-02[网络安全]sqli-labs Less-5 解题详析
往期sqli-labs在该博客中,读者可自行浏览。[秋说的博客](https://blog.csdn.net/2301_77485708?spm=1000.2115.3001.5343)该博客实操性较高,请读者`躬身实践`判断注入类型GET1'and'1'='1回显如下:GET1'and'1'='2没有回显,说明该漏洞类型为GET型单引号字符型注入判断注入
- 2023-05-02[网络安全]DVWA之SQL注入—medium level解题详析
免责声明:本文仅分享SQL攻击相关知识,不承担任何法律责任。本文涉及的DVWA应用程序、BurpSuite、sqlmap请读者自行安装,本文不再赘述。SQL注入原理可参考:[网络安全]SQL注入原理及常见攻击方法简析sqlmap注入方式可参考:[网络安全]以留言板项目渗透实例带你入门sqlmap提交用户名后
- 2023-05-02[网络安全]DVWA之SQL注入—High level解题详析
免责声明:本文仅分享SQL攻击相关知识,不承担任何法律责任。DVWA请读者自行安装,本文不再赘述。由于highlevel仅涉及简单攻击知识,本文不再详细解释。建议读者在理解SQL注入原理,熟悉lowlevel、mediumlevel解题姿势后再观看本文。具体原理及姿势参见:[网络安全]DVWA之SQL注入—low
- 2023-04-09[从0开始]PHP+phpstudy留言板项目搭建教程及报错详析
[从0开始]PHP+phpstudy留言板项目搭建教程及报错详析基础知识及工具准备基础知识:四种语言PHPPHP是在服务器端执行的脚本语言,适用于Web开发并可嵌入HTML中。学习网站:PHP教程|菜鸟教程SQLSQL是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统