中间人攻击和ARP欺骗原理
2020-10-11
Gopher协议在SSRF漏洞中的利用
SSRF 简介SSRF (Server-Side Request Forgery,服务器端请求伪造) 是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统 (正因为请求是由服务端发起的
2020-10-01
SSTI 服务器端模板注入
[toc]
先入个门模板引擎首先我们先讲解下什么是模板引擎,为什么需要模板。
百度百科的定义:模板引擎(这里特指用于Web开发的模板引擎)是为了使用户界面与业务数据(内容)分离而产生的,它可以生成特定格式的文档,用于网站的模板引擎就会渲
2020-09-21
JWT攻击手册:如何入侵你的Token
本文转自作者Bypass
2020-09-18
Web条件竞争漏洞
竞争条件”是什么?竞争条件发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。
开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,但他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果
2020-09-13
XSS漏洞自动化检测工具XSSer
XSS漏洞自动化攻击工具XSSer
2020-08-17
HTTPOXY漏洞学习
HTTPOXY漏洞学习
2020-08-02
PHP序列化反序列化漏洞总结
[toc]
序列化和反序列化的概念与基础知识序列化就是将一个对象转换成字符串。字符串包括,属性名,属性值,属性类型和该对象对应的类名。反序列化则相反将字符串重新恢复成对象
类型
过程
序列化
对象—> 字符串
反序列
2020-07-28
Xray:自动化Web漏洞扫描工具
Xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成
2020-07-22
从一道CTF题学习序列化POP链
序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
2020-07-20