网站首页
编程语言
数据库
系统相关
其他分享
编程问答
Vulnerabilities
2024-05-08
Server-side vulnerabilities :path traversal
来自bp的学院,提供了靶机,是个学习好地方服务器漏洞之路径遍历 就是说网站提供的图片,如果直接通过src="/loadImage?filename=xxx.jpg“读取的话,可以通过构造”filename=../../../etc/passwd"参数,拿到服务器的passwd文件,这样能读取服务器的用户放一个靶机地址:https://portswigg
2024-04-09
【DVWA】20. SQL Injection (Blind)SQL注入盲注(全等级Sqlmap版)
文章目录0.盲注介绍0.1布尔盲注0.2时间盲注0.3常用函数if()length()substr()、substring()ascii()、ord()1.Low1.1源码分析1.2实操2.Medium2.1源码分析2.2实操3.High3.1源码分析3.2实操4.Impossible4.1源码分析0.盲注介绍盲注,有两种主要类型,包
2024-01-31
Authentication vulnerabilities
身份验证漏洞从概念上讲,身份验证漏洞很容易理解。但是,由于身份验证和安全性之间存在明确的关系,它们通常至关重要。身份验证漏洞可能允许攻击者访问敏感数据和功能。它们还暴露了额外的攻击面,以便进一步利用。因此,了解如何识别和利用身份验证漏洞以及如何绕过常见的保护措施非常重
2023-10-17
Secure Code Warrior C# Basic OWASP Web Top 10 2017 8: Insecure deserialization, 9: Using Components
Lastbutnotleast.Thesesetchallengesconsistof8:Insecuredeserialization,9:UsingComponentswithKnownVulnerabilities,10:InsufficientLoggingandMonitoring8:Insecuredeserialization, 9:UsingComponentswithKnownVulnerabilities, 10:I
2023-10-17
Secure Code Warrior C# Basic OWASP Web Top 10 2017 5: Broken Access Control, 6: Security Misconfigu
Learntheropesorhoneyourskillsinsecureprogramminghere.Thesechallengeswillgiveyouanunderstandingof5:BrokenAccessControl,6:SecurityMisconfigurationand7:XSSvulnerabilities5:BrokenAccessControl, 6:SecurityMisconfiguration
2023-09-17
DVWA靶场通关-CSRF(跨站请求伪造)
BruteForce(暴力(破解))、CommandInjection(命令行注入)、CSRF(跨站请求伪造)、 FileInclusion(文件包含)、FileUpload(文件上传)、InsecureCAPTCHA(不安全的验证码)、 SQLInjection(SQL注入)、SQLInjection(Blind)(SQL盲注)、XSS(DOM)(基于DOM树)、 XSS(Reflec
2023-03-31
CISP-PTE靶场通关思路分享-SQL注入篇
pte靶场中包含5道web题SQL注入首先打开本地搭建的网址,发现我们需要利用SQL注入对/tmp/360/key文件进行读取,读取该文件需要使用load_file()函数,该函数是MySQL中常见内置函数。 进入答题后,发现由当前执行的SQL语句,按照当前执行的SQL语句对SQL语法进行闭合 1http:/
2022-11-04
【THM】Exploit Vulnerabilities(利用漏洞)-学习
本文相关的TryHackMe实验房间链接:https://tryhackme.com/room/exploitingavulnerabilityv2通过学习相关知识点:了解一些利用漏洞的工具、技术和资源。介绍在本文中,我们将
2022-10-19
time of check to time of use 数据竞争 竟态检测 Race detection
https://jyywiki.cn/OS/2022/slides/8.slides#/4/3“TOCTTOU”-timeofchecktotimeofuseTOCTTOUvulnerabilitiesinUNIX-stylefilesystems:Ananatomica
2022-10-03
DVWA sqli
levellow可以看到查询请求为http://192.168.31.xxx/vulnerabilities/sqli/?id=1&Submit=Submit######id改为`id=1'or'1'='1`用来闭合单引号,实现注入http://19