2021-02-13 阅读(589)

对话认证是一个非常大的话题，涉及到各种认证协议和框架，如cookie、session、sso、oauth、openid等，问题较多的在cookie上，cookie是Web服务器返回给客户的常用文字串，用于识别用户的身份...

2021-02-11 阅读(281)

什么是二次漏洞？首先要结构利用代码写入网站保存，在第二次或多次请求后调用攻击代码触发或修改配置触发的脆弱性被称为二次脆弱性。二次漏洞有点像存储XSS的味道。即使payloa...

2021-02-10 阅读(242)

安全业界内有句老话，所有的用户输入都是有害的，我们所有的网站安全测试都是基于这个原理来展开详细的渗透测试。既然所有的用户输入都是有害的，如何让这种危害出现，这就引...

2021-02-09 阅读(313)

根据文章的说法，地址格式如下: 默认情况下，这种格式的菜刀无法连接，也说菜刀不支持SOAP的方式上传payload，因此 同时连接asmx文件会出现下面的图错误，这个shell连接客户端被waf杀...

2021-02-09 阅读(282)

该RCE是RemoteCommand/CodeExecute、远程命令/代码执行这两种漏洞的简称。 远程代码执行(操作系统命令注入或简称命令注入)是一个漏洞。黑客注入的payload将作为操作系统命令来运行。OS命令...

2021-02-08 阅读(309)

这个问题我继续深入。最终在两个小时内找到了四个相同的漏洞。这个故事想阐述哪些呢。 1.当你挖不到漏洞时，你可以尝试改变你的想法。2.当你挖不到漏洞时，你可以看看你以前发...

2021-02-07 阅读(212)

什么是网站漏洞？首先我给大家讲一下漏洞盒的评分规则。报告好的话，低风险给2分，中风险给3分，高风险给4分。如果报告能达到优秀水平，你的分数就会翻倍。至于报告，如果质量...

2021-02-02 阅读(411)

逻辑漏洞是什么？一款产品的实施，总会有很多逻辑包含在其中，比如一个网购网站，他需要哪些特性， 货物展示，货物分类搜寻，货物购买等。商品管理，订单处理，相应反馈处理等...

2021-01-24 阅读(367)

近几年来，各大中型CTF(CaptureTheFlag，中文版通常翻译为夺旗比赛，在网络信息安全行业指的是网络信息安全技术人员相互间进行技术竞技的比赛形式)比赛中有块链攻防的形象，而且出现...

2021-01-20 阅读(487)

虽然PHP是最流行的脚本语言，但是用它编写的应用程序很容易受到攻击。作为开发人员，您有责任保护您的PHP代码和应用程序免受潜在黑客的攻击。PHP安全最佳实践。为了创建最安全的...