File Upload
文件上传这个功能点是现在大部分 UGC 站点必备的功能啦,像是头像、文章编辑、评论区等模块都标配。在编码时不考虑上传文件的内容和文件类型就有可能被上传 WebShell。
最常见的利用方法是对正常上传点,传递脚本直接获取 Web 服务控制权限,或者上传一个 HTML 页面将链接发给用户进......
分类 渗透测试 下的文章
CSRF (Cross-Site Request Forgery)
目录
目录
简介
利用
自动化提交表单
隐藏响应数据
绕过
Referer 验证
靶场练习
DVWA 练习
防御
验证 Referer
验证 Orgin
使用 CSRF Token
不使用 Cookie 存放凭证
验证码
Cookie 的 SameSite 属性
参考链......
XSS (Cross-Site-Scripting)
目录
目录
简介
同源策略
漏洞原理
XSS 漏洞分类
反射型
DOM型
存储型
实际案例
案例一
案例二
测试方法
绕过方法
编码
HTML 实体引用
UnionCode 编码
正则
事件
空格绕过
JavaScript 伪协议
data URI scheme
圆......
File Inclusion
目录
目录
PHP
本地包含(Local File Inclusion)
远程包含(Remote File Inclusion)
jsp
防御(待补充)
PHP
本地包含(Local File Inclusion)
LFI(Local File Inclusion)通过填写 ........
RCE
目录
目录
简介
Remote Code Execution
PHP
Java
Remote Command Execution
靶场练习
Web Security Academy
Lab: OS command injection, simple case
Lab: Blin......