JAVA反序列话漏洞 作者 发布于 2023-04-03 包括在 WEB安全JAVA反序列话漏洞 序列化 序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前
XML与XXE利用检测绕过 作者 发布于 2023-04-03 包括在 WEB安全XML与XXE利用检测绕过 什么是XML XML 被设计为传输和存储数据,XML文档结构包括 XML 声明、DTD文档类型定义(可选)、文档元素、其焦点是数据
PHP反序列化漏洞 作者 发布于 2023-04-02 包括在 WEB安全PHP反序列化漏洞 序列化与反序列化的关系 PHP反序列化漏洞 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致
找回机制及接口爆破 作者 发布于 2023-03-31 包括在 WEB安全找回机制及接口爆破 找回重置机制 客户端回显 会将验证码在数据包中 Response 状态值 根据状态值,回显找回密码,类似于本地JS验证,如果是服务器端验证的话,就
水平与垂直越权 作者 发布于 2023-03-29 包括在 WEB安全水平与垂直越权 水平越权 通过更换的某个 ID 之类的身份标识,从而使 A 账号获取(修改、删除等)B 账号数据。 垂直越权 使用低权限身份的账号,发送高权限账
验证码与Token及接口 作者 发布于 2023-03-29 包括在 WEB安全验证码与Token及接口 验证码安全 分类:图片,手机或邮箱,语音,视频,操作等 原理:验证生成或验证过程中的逻辑问题 危害:账户权限泄漏,短信轰炸
支付数据篡改 作者 发布于 2023-03-29 包括在 WEB安全支付数据篡改 登录应用功能点安全问题 登录点暴力破解与HTTP/HTTPS 传输 http与https的区别 http一般情况下是没有加密的,可以直接
文件包含漏洞 作者 发布于 2023-03-09 包括在 WEB安全文件包含漏洞 文件包含漏洞 原理,检测,类型,利用,修复等。 $filename = $_GET['x']; // http://127.0.0.1:80/index.php?x=index.txt // index.txt中有如下代码<?php phpinfo();?> // 这样就会忽略文件类型,
CSRF跨站请求伪造 作者 发布于 2023-03-03 包括在 WEB安全CSRF漏洞跨站请求伪造 原理 必须是在授权登录的状态下,才能完成CSRF,主要是用来修改信息的。 假设某一网站后台添加用户的数据包为: www.127.0.0.1.com/adduser.php?user=admin&password=123456 而在攻击
JWT安全 作者 发布于 2023-03-03 包括在 WEB安全JWT安全 什么是JWT JSON Web Token(JSON Web 令牌)是一种跨域验证身份的方案。JWT不加密传输的数据,但能够通 过数字签名来验证数据未被篡改
