分类 渗透测试 下的文章

Server Side Request Forgery 中文叫服务器端请求伪造,是指一个正常向其他服务器获取数据的功能,此功能让用户提供资源地址,攻击者恶意利用此功能向其他服务器发起请求。说白了就是应用存在漏洞,后端程序可以操作服务器发送请求。比如应用正常是通过输入 URL 加载图片,那......

目录[TOC]Web ScanAppScan由 IBM 开发的工具,扫描结果最全,速度超慢。AWVS可以用脚本批量扫站OWASP ZAPWeb 扫描器,类似于 Burp,就是没找到填写认证信息的模块。BurpSuiteXrayNucleihttps://github.com/projec......

目录[TOC]XXE漏洞原理XML 基本格式XXE 跟 XML 有关联,先了解一些基础知识再玩儿漏洞。XML 是用来传输和存储数据的一种标准格式,就和 JSON 格式一样都是给你一个框框你往里填数据,大家都遵守这个格式在各个语言解析数据时就方便,不需要针对每个格式编写一套解析规则。下面是......

SQLMAP 用于测试 SQL 注入漏洞,通过时间、报错、OOB、文件写入、文件读取等手法进行注入,这款工具你需要关注的是测谁,测哪个参数。目录[TOC]注入指定参数GET使用 -u 指定要测试的目标 URL,默认情况所有 GET 参数都会被测试python sqlmap.py -u &......