2019年2月

危害:可能直接getshell产生原因:一般是过滤不严谨对正常上传点递脚本,直接获取控制权限,或者上传一个页面传给用户进行钓鱼,用户一看URL是官方的就放松警惕。组合拳:文件上传+中间件解析练习GitHub - c0ny1/upload-labs: 一个想帮你总结所有类型的上传漏洞的靶场1.前...

Apache官网是 http://httpd.apache.org ,还可通过 http://www.netdcraft.com 来查看server占有量。rz 命令可用来上传文件。安装apache首先得先安装它的依赖包,这些安装包官网上都有下载链接。aprapr-util安装 Apache ...

跨站请求伪造攻击的是浏览器会话,让用户打开页面发送一个攻击者想要的请求到Server中。这个攻击能成前提是请求参数能猜出来(伪造),第二点是用户来触发这个伪造的请求,第三用户会话处于认证后的状态。CSRF漏洞站在业务上来看,对这个功能能造成多大危害,别忘了危害可以构造出来(扯反动和政治上的问题...

同源策略浏览器中的同源策略旨在不同源之间的脚本和文档不能互相读写对方页面数据,其中数据包括 cookie 和 DOM。如果两个页面的协议,端口(如果有指定)和主机都相同,则两个页面具有相同的源。我们也可以把它称为“协议/主机/端口 tuple”,或简单地叫做“tuple". ("tuple" ...

本地包含:LFI(Local File Inclusion)通过填写../或/etc/等路径得到一些文件的内容远程包含:RFI(Remote File Inclusion)加载远程主机中的文件,,用来钓鱼或得到一些系统信息,譬如phpinfo,另外威胁到用户可能危害更大。危害:可以读取系统任意...