歡迎光臨
我們一直在努力

Web Security 第22頁

Web Security 分類整理 Web 滲透測試、網站漏洞、注入攻擊、XSS、SSRF、RCE、繞過技巧與防護實務,是本站 Web 安全研究的主要入口。
揭露某些所謂

揭露某些所謂"大佬"不為人知的另一面

這篇沒技術含量,只是想分享一下網路上免費的免殺木馬、過狗Webshell別亂用,天下沒有白吃的午餐,透過簡單的分析,查找出藏在Webshell的後門。 原文出處:http://www.watscan.com/index.php?c=wxde...

贊(0)波波波波閱讀(2437)
最通俗易懂的PHP反序列化分析-波波的寂寞世界

最通俗易懂的PHP反序列化分析

PHP反序列化漏洞雖然利用的條件比較苛刻,但是如果可以利用一般都會產生很嚴重的後果。 要了解PHP反序列化漏洞,應該從這幾方面: 什麼是反序列化 為什麼會產生這個漏洞 在編程的過程中,什麼時候會用到序列化這個概念 實例分析 原文出處:htt...

贊(0)波波波波閱讀(3098)去評論
二維碼登陸的常見缺陷剖析-波波的寂寞世界

二維碼登陸的常見缺陷剖析

今天分享一篇QR Code登入的常見缺陷剖析。 現在很多的電商平台和企業網站都有自己的手機APP,為了方便用戶的體驗,於是就有了"掃碼登入"這樣的功能。看似掃碼登入,實際上還是基於HTTP請求來完成的,但背後可能會存在什麼樣的安全性問題呢?...

贊(0)波波波波閱讀(2375)
ESI(Edge Side Include )注入技術-波波的寂寞世界

ESI(Edge Side Include )注入技術

今天分享一篇ESI(Edge Side Include )注入技術翻譯文章,ESI 主要在常見的HTTP代理(反向代理、負載均衡、緩存服務器、代理服務器)中使用。通過ESI注入技術可以導致服務端請求偽造(SSRF),繞過HTTPOnly c...

贊(0)波波波波閱讀(2101)
連續使用過濾函數造成的安全問題總結-波波的寂寞世界

連續使用過濾函數造成的安全問題總結

今天分享一篇連續使用過濾函數會造成的安全問題, 由於開發人員對函數的用法缺乏深刻的理解,或者想當然地認為多個過濾函數能夠有很好地過濾效果,卻沒有意識到多個過濾函數的組合使用恰好有可能存在漏洞。 本文也只是簡單地總結了一下這種情況,而漏洞實例...

贊(0)波波波波閱讀(2455)
Joomla內核SQL注入漏洞(CVE-2018-8045)分析-波波的寂寞世界

Joomla內核SQL注入漏洞(CVE-2018-8045)分析

今天分享一篇CVE-2018-8045 Joomla SQL Injection的分析介紹,該漏洞造成原因是User Notes模塊由於缺少變量類型轉換,導致sql注入的產生。這個漏洞在3.8.6版本被解決。 原文出處:https://pa...

贊(0)波波波波閱讀(2208)
簡單粗暴的文件上傳漏洞-波波的寂寞世界

簡單粗暴的文件上傳漏洞

文件上傳漏洞可以說是日常滲透測試用得最多的一個漏洞,因為用它獲得服務器權限最快最直接。但是想真正把這個漏洞利用好卻不那麼容易,其中有很多技巧,也有很多需要掌握的知識。俗話說,知己知彼方能百戰不殆,因此想要研究怎麼防護漏洞,就要了解怎麼去利用...

贊(0)波波波波閱讀(2389)
Drupal 8 – CVE-2017-6926漏洞詳解-波波的寂寞世界

Drupal 8 – CVE-2017-6926漏洞詳解

今天分享一篇 Drupal CVE-2017-6926漏洞詳解,該漏洞具有發表評論權限的用戶可以查看他們無權訪問的內容和評論,並且還可以為該內容添加評論。 原文出處:https://paper.seebug.org/559/ -------...

贊(0)波波波波閱讀(2122)

波波的寂寞世界

Facebook聯繫我們