-
0x00 基础知识什么是XML?XML 指可扩展标记语言,被设计用来传输和存储数据,不用于表现和展示数据,HTML 则用来表现数据。
XML格式
XML 文档第一行以 XML 声明开始,用来表述文档的一些信息(版本,编码信息)
1<?xml ...
-
0x00 概念SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞利用一个可发起网络请求的服务器当作跳板来攻击其他服务。
0x01 原理服务端提供了从其他服务器应用...
-
0x00 CSRF介绍跨站请求伪造(Cross-site request forgery) 通常简写为CSRF
攻击者伪造一个请求(这个请求一般都是一个链接),然后欺骗目标用户进行点击,一旦用户点击了请求,整个攻击完成。故CSRF攻击也称为”on c...
-
0x00 XSS概念Cross Site Scripting – 跨站脚本攻击,为了和CSS层叠样式表区分,故称跨站脚本攻击为XSS。跨站脚本攻击是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页面之时,嵌入Web页面中的Script代...
-
注释123--单行注释 #、--+('+'代表空格)--内联注释 /**/
MySQL字段123456789101112- information_schema --包含数据库的所有信息(5.0以上的版本)- schema ...
-
0x00 SQL注入概念SQL注入是一种针对Web应用程序的攻击技术,攻击者通过利用应用程序没有正确过滤或转义用户输入的漏洞,在执行SQL查询时注入恶意代码,以达到获取、删除、修改数据等目的。
0x01 SQL注入原理由于服务器未严格校验用户传递的数...
-
0x01 介绍命令执行漏洞是指应用有时需要调用一些执行系统命令的函数,如:**system()、exec()、shell_exec()、eval()、passthru()**,代码未对用户可控参数做过滤,当用户能控制这些函数中的参数时,就可以将恶意系...
-
0x00 反序列化原理反序列化处的参数用户可控,服务器接收我们序列化后的字符串并且未经过滤把其中的变量放入一些魔术方法里面执行
0x01 表达方式serialize序列化:所有格式第一位都是数据类型的英文字母简写
空字符
1null --- N;...
-
0x00 什么是文件包含漏洞为了更好地使用代码的重用性,引入了文件包含函数,通过文件包含函数将文件包含进来,直接使用包含文件的代码,简单点来说就是一个文件里面包含另外一个或多个文件。
0x01 文件包含漏洞原理文件包含函数加载的参数没有经过过滤或者严...
-
Pass-011234567891011121314151617181920function checkFile() { var file = document.getElementsByName('upload_file&...
