歡迎光臨
我們一直在努力
Web 滲透與漏洞研究
264

Web 滲透與漏洞研究 第22頁

Web 滲透測試、網站漏洞、注入攻擊、RCE、XSS、SSRF 與防護實務。
Python反序列化漏洞的花式利用-波波的寂寞世界

Python反序列化漏洞的花式利用

Python反序列化,前些時間看了看python pickle的源碼,研究了一下一些利用方式,這裡總結分享一下反序列化漏洞的一些利用方式。漏洞原理就不再贅述了,可以看看關於Python sec(上一篇)的簡單總結這篇文章。 原文出處:htt...

贊(0)波波波波Web Security 閱讀(2045)
關於Python-sec的一些總結-波波的寂寞世界

關於Python-sec的一些總結

Python沙箱逃逸,說到python沙箱逃逸,一般來說就是給個交互式的python shell或是web裡面常見的SSTI。 通常如果能夠執行代碼的話,我們一般採用以下的方法: 1、使用常見的命令執行模塊或是文件讀寫模塊 2、使用寫文件到...

贊(0)波波波波Web Security 閱讀(3343)
最通俗易懂的PHP反序列化分析-波波的寂寞世界

最通俗易懂的PHP反序列化分析

PHP反序列化漏洞雖然利用的條件比較苛刻,但是如果可以利用一般都會產生很嚴重的後果。 要了解PHP反序列化漏洞,應該從這幾方面: 什麼是反序列化 為什麼會產生這個漏洞 在編程的過程中,什麼時候會用到序列化這個概念 實例分析 原文出處:htt...

贊(0)波波波波Web Security 閱讀(3049)去評論
二維碼登陸的常見缺陷剖析-波波的寂寞世界

二維碼登陸的常見缺陷剖析

今天分享一篇QR Code登入的常見缺陷剖析。 現在很多的電商平台和企業網站都有自己的手機APP,為了方便用戶的體驗,於是就有了"掃碼登入"這樣的功能。看似掃碼登入,實際上還是基於HTTP請求來完成的,但背後可能會存在什麼樣的安全性問題呢?...

贊(0)波波波波Web Security 閱讀(2344)
ESI(Edge Side Include )注入技術-波波的寂寞世界

ESI(Edge Side Include )注入技術

今天分享一篇ESI(Edge Side Include )注入技術翻譯文章,ESI 主要在常見的HTTP代理(反向代理、負載均衡、緩存服務器、代理服務器)中使用。通過ESI注入技術可以導致服務端請求偽造(SSRF),繞過HTTPOnly c...

贊(0)波波波波Web Security 閱讀(2062)
連續使用過濾函數造成的安全問題總結-波波的寂寞世界

連續使用過濾函數造成的安全問題總結

今天分享一篇連續使用過濾函數會造成的安全問題, 由於開發人員對函數的用法缺乏深刻的理解,或者想當然地認為多個過濾函數能夠有很好地過濾效果,卻沒有意識到多個過濾函數的組合使用恰好有可能存在漏洞。 本文也只是簡單地總結了一下這種情況,而漏洞實例...

贊(0)波波波波Web Security 閱讀(2428)

波波的寂寞世界

Facebook聯繫我們