web安全 DTD 实体 XXE 浅析 在 FIT2018 互联网创新大会上得知,最新的 OWASP top10 中,XXE 已上升至第三位,所有对 XXE 产生了强烈的兴趣。虽然之前也听说过 XXE,但是一直未深入了解。经多方资料查询,愈发感受到 XXE 攻击的强大。以下是我这段时间对 XXE 学习的一点总结,比较浅显,仅供参考。 阅读全文 2019-11-10 信安之路 0 条评论
web安全 新手指南:Bwapp之XSS –stored XSS 全称:跨站脚本( Cross Site Scripting ),为了不和层叠样式表( Cascading Style Sheets )的缩写 CSS 混合,所以改名为 XSS;攻击者会向 web 页面( input 表单、 URL 、留言版等位置)插入恶意 JavaScript 代码,导致 管理员/用户 访问时触发,从而达到攻击者的目的。XSS 的危害:窃取管理员/用户的 cookie 非法登录,导致网站被挂马、服务器沦陷被控制等等…… 阅读全文 2019-11-10 信安之路 0 条评论
web安全 webshell 常见 Bypass waf 技巧总结 本文作者:s9mf对于很多,和我一样刚刚入门,或者还在门边徘徊的小伙伴们,在渗透学习的过程中,总会遇到各种情况,例如 php 大马被 waf 拦截的时候,那么如何制作免杀 php webshell 呢,接下来就由我带各位小伙伴们一起踏上大马免杀之路,不喜勿喷。 阅读全文 2019-11-10 信安之路 0 条评论
web安全 php 反序列漏洞初识 本文作者:l1nk3r在 OWASP TOP10 中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下。我觉得学习的时候,所有的问题都应该问 3 个问题:what、why、how: 阅读全文 2019-11-10 信安之路 0 条评论
web安全 绕过内容安全策略总结 本文作者:hurricane618(来自读者投稿)今年的 0CTF 预选赛 6 道 web 题,其中三道都涉及 CSP 的知识点,简直可怕。。。这次趁着空闲时间就稍稍总结一下 CSP 绕过方面的知识,无论是对以后 CTF 比赛还是工作都很有帮助。 阅读全文 2019-11-10 信安之路 0 条评论