XSS
XSS漏洞原理 Web 应用程序在处理用户输入时,没有对输入进行充分的过滤和转义,直接将用户输入的内容输出到页面中,攻击者就可以利用这个漏洞注入恶意脚本。 例如,一个留言板应用程序直接将用户输入的留言显示在页面上,如果攻击者输入一段 JavaScr...
文件上传漏洞(二)
成因上传文件时没有对上传的文件进行严格的验证和过滤,容易造成上传任意文件的情况,从而使得攻击者绕过上传机制上传恶意代码 恶意代码文件就是php asp aspx jsp等,也被称为webshell 文件上传漏洞的类型 前端验证 .htaccess利...
文件上传漏洞(一)
文件上传无验证题目: 解题使用工具:蚁剑 创建一个名为ctf.php的文件,写入 1<?php @eval($_POST["ctf"]);?> 将文件上传 打开蚁剑 测试连接,显示连接成功 前端验证题目: ...
CSRF
简介CSRF,全名 Cross Site Request Forgery,跨站请求伪造。本质是通过伪装成受信任用户请求受信任的网站。 CSRF 攻击的原理 用户登录受信任网站:用户在浏览器中登录了A网站,并建立了有效会话。 未退出登录:用户在会话有效...