↓ 按住下拉

  • 一款国产开源 Web 防火墙神器!
    随着开源 Web 框架和各种建站工具的兴起,搭建网站已经是一件成本非常低的事情,但是网站的安全性很少有人关注,以至于 WAF 这个品类也鲜为人知。 WAF 是 Web 应用 ......
  • 细数2019-2023年CWE TOP 25 数据,看软件缺陷的防护
    本文分享自华为云社区《从过去5年CWE TOP 25的数据看软件缺陷的防护》,作者:Uncle_Tom。 "以史为鉴,可以知兴替"。CWE 已经连续5年发布了 CWE TOP 25,我们可以从过去5 ......
  • 《小白WEB安全入门》03. 漏洞篇
    目录 SQL注入和简单绕过原理 什么是SQL 什么是SQL注入 XSS漏洞原理 什么是XSS XSS分类 NOSQL注入 什么是NOSQL CSRF原理 什么是CSRF 网络摄像头入侵原理 什么 ......
  • 渗透小tis
    知己知彼,百战不殆 1、如果提示缺少参数,如{msg:params error},可尝使用字典模糊测试构造参数,进一步攻击。 2、程序溢出,int最大值为2147483647,可尝试使用该值进行 ......
  • Web攻防--xxe实体注入
    web攻防--xxe实体注入 XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系 ......
  • Web通用漏洞--SSRF
    Web通用漏洞--SSRF SSRF(Server-Side Request Forgery:服务器端请求伪造) 一种由攻击者构造形成由服务端发起请求的一个安全漏洞; 一般情况下,SSRF攻击的目标是 ......
  • tryhackme-OWASP
    tryhackme-OWASP Top 10部分记录 敏感信息泄露 在assets目录中 可以看到到一个sqlite数据库的webapp.db文件 使用sqlite3 webapp.db .tables查看表 会发现use ......
  • 引言:CTF新世界
    1. CTF的昨天和今天 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON ......
  • 9.SSRF和XML
    SSRF和XML 目录 SSRF和XML SSRF介绍 SSRF漏洞挖掘 SSRF漏洞利用 内网探测: 常见端口探测: 协议探测: file协议敏感文件: XML介绍 DTD定义 DTD作用 XXE介绍 XXE的 ......
  • [LCTF]bestphp's revenge 给我的启发学习
    flag.php: only localhost can get flag!sessionstart(); echo 'only localhost can get flag!'; $flag = 'LCTF{*************************}'; if($SERVER["REMO ......