按时间归档:2019年11月
-
[原创]WEB安全第五章 漏洞学习与利用 18xpath注入与盲注入
WEB安全第五章 漏洞学习与利用 18xpath注入与盲注入 1、什么是xpath注入 XPath是一种查询语言,它描述了如何在XML文档中查找特定元素(包括属性、处理指令等)。既…
-
[原创]WEB安全第五章 漏洞学习与利用 17json劫持漏洞与利用
[原创]WEB安全第五章 漏洞学习与利用 17json劫持漏洞与利用 JSON是一种轻量级的数据交换格式,而劫持就是对数据进行窃取(或者应该称为打劫、拦截比较合适。 恶意攻击者通过…
-
[原创]WEB安全第五章 漏洞学习与利用 15伪随机码漏洞与利用
WEB安全第五章 漏洞学习与利用 15伪随机码漏洞与利用 伪随机码 结构可以预先确定,重复产生和复制,具有某种随机序列的随机特性的序列号。 在WEB开发中 伪随机码主要用于确定范围…
-
[原创]WEB安全第五章 漏洞学习与利用16密码找回漏洞和利用
WEB安全第五章 漏洞学习与利用16密码找回漏洞和利用 为了防止用户遗忘密码,大多数网站都提供了找回密码功能。常见的找回密码方式有:邮箱找回密码、根据密码保护问题找回密码、根据手…
-
[原创]WEB安全第五章 漏洞学习与利用14身份绕过漏洞session
WEB安全第五章 漏洞学习与利用14身份绕过漏洞session session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。 当程序…
-
[原创]WEB安全第五章 漏洞学习与利用13身份绕过漏洞cookie
WEB安全第五章 漏洞学习与利用13身份绕过漏洞cookie 1、cookie的作用: 我们在浏览器中,经常涉及到数据的交换,比如你登录邮箱,登录一个页面。我们经常会在此时设置30…
-
[原创]WEB安全第五章 漏洞学习与利用12越权漏洞与利用
[原创]WEB安全第五章 漏洞学习与利用12越权漏洞与利用 1、什么是越权漏洞 越权漏洞是一种很常见的逻辑安全漏洞。可以这样理解:服务器端对客户提出的数据操作请求过分信任,忽略了对…
-
[原创]WEB安全第五章 漏洞学习与利用11 xml实体注入
WEB安全第五章 漏洞学习与利用11 xml实体注入 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在…
-
[原创]WEB安全第五章 漏洞学习与利用10ssrf漏洞和利用
WEB安全第五章 漏洞学习与利用10ssrf漏洞和利用 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求…
-
[原创]WEB安全第五章 漏洞学习与利用09CSRF漏洞和利用
WEB安全第五章 漏洞学习与利用09CSRF漏洞和利用 CSRF定义: 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click a…