Gere的博客_云社区-华为云

Lv.3

Gere

更多个人资料

203 成长值

3 关注

4 粉丝

+ 关注私信

个人介绍

这个人很懒，什么都没有留下

感兴趣或擅长的领域

IOT

个人勋章

TA还没获得勋章~

成长雷达

200

个人资料

个人介绍

这个人很懒，什么都没有留下

感兴趣或擅长的领域

IOT

达成规则

以上满足项可达成此勋章

博客
关注
粉丝
论坛

全部时间

最近一月

全部
暂无专栏分类

sql注入原理分析

4-1 SQL注入的原理分析一、SQL注入本质注入攻击的本质，是把用户输入的数据当做代码执行。这里有两个关键条件：第一个是用户能够控制输入第二个是原本程序要执行的代码，拼接了用户输入的数据然后进行执行那什么是SQL注入，就是针对SQL语句的注入，也可以理解为用户输入的数据当做SQL语句的代码执行了SQL注入是1998年一名叫做rfp的黑客发表的一篇文章所进入大众视线的二、分析公开课猫舍注入显...

SQL

Gere 2024-07-30 09:27:27

3593

2024-07-30 09:27:27

999+

本地包含与远程包含漏洞

知识梳理1. 文件包含漏洞文件包含本身不是漏洞，但是对于包含进来的文件制不严格，就导致了文件包含漏洞的产生,最终造成攻击者进行任意文件包含。（注：包含的文件会被当成脚本文件来解析）注：包含文件很有用，可以简化代码2. 文件包含分为本地和远程文件包含本地文件包含：LFI远程文件包含：RFI（需要allow_url_include = On）3. 危险函数include()文件被多次包含时，会抛...

PHP

Gere 2022-12-31 08:30:01

7486

2022-12-31 08:30:01

999+

8-6变量覆盖

一、什么是变量覆盖？变量覆盖指的是可以用我们的传参值替换程序原有的变量值怎么去寻找变量覆盖？经常导致变量覆盖漏洞场景有：$$使用不当，extract()函数使用不当，parse_str()函数使用不当import_request_variables()使用不当，开启了全局变量注册等。变量覆盖漏洞有的时候可以直接让我们获取Webshell，拿到服务器的权限一般只能白盒代码审计二、函数解析ext...

PHP 数据结构

Gere 2022-12-31 08:28:49

3491

2022-12-31 08:28:49

999+

8-5 XXE - 实体注入

一、什么是XXE?XXE = XML External Entity 即外部实体，从安全角度理解成XML External Entity attack XML外部实体注入攻击典型的攻击如下：定义实体必须写在DTD部分二、什么是XML?什么是 XML?XML 指可扩展标记语言（EXtensible Markup Language）XML 是一种标记语言，很类似 HTMLXML 的设计宗旨是传输...

PHP XML

Gere 2022-12-31 08:28:14

3929

2022-12-31 08:28:14

999+

8-4支付漏洞

一、快捷支付原理商户网站接入支付结果有两种方式，一种是通过浏览器进行跳转通知，一种是服务器端异步通知浏览器跳转基于用户访问的浏览器，如果用户在银行页面支付成功后，直接关闭了页面，并未等待银行跳转到支付结果页面，那么商户网站就收不到支付结果的通知，导致支付结果难以处理。而且浏览器端数据很容易被篡改而降低安全性服务器端异步通知该方式是支付公司服务器后台直接向用户指定的异步通知URL发送参数，采用...

网站

Gere 2022-12-31 08:27:45

7211

2022-12-31 08:27:45

999+

8-2 平行越权、垂直越权 | 8-3 s-s-rF-服务器端请求伪造

一、什么是越权？越权漏洞的概念越权漏洞是一种很常见的逻辑安全漏洞。是由于服务器端对客户提出的数据操作请求过分信任，忽略了对该用户操作权限的判定，导致修改相关参数就可以拥有了其他账户的增、删、查、改功能，从而导致越权漏洞。目前存在着两种越权操作类型：横向越权操作（水平越权）和纵向越权（垂直越权）操作。越权一般分为水平越权和垂直越权。水平越权是指相同权限下不同的用户可以互相访问垂直越权是指使用权...

通用安全

Gere 2022-12-31 08:27:16

5958

2022-12-31 08:27:16

999+

8-1验证码绕过、密码找回漏洞

一、验证码作用验证码（CAPTCHA）是“Completely Automated Public Turing test to tell Computers and Humans Apart”（全自动区分计算机和人类的图灵测试）的缩写，是一种区分用户是计算机还是人的公共全自动程序。可以防止：恶意破解密码、刷票、论坛灌水，有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆...

前端

Gere 2022-12-31 08:26:36

16416

2022-12-31 08:26:36

999+

7-3文件上传解析漏洞（三）

一、IIS6.0解析漏洞IIS6.0解析漏洞（一）IIS6.0除了将ASP后缀当做ASP进行解析的同时，当文件后缀名字为.asa .cer .cdx 也会当做asp去解析，这是因为IIS6.0在应用程序扩展中默认设置了.asa .cer .cdx 都会调用 asp.dll，可以通过以下设置网站什么后缀用什么解析。IIS6.0解析漏洞（二）IIS5.1和IIS7.5无此漏洞。IIS 6.0在处...

ASP PHP

Gere 2022-12-31 08:26:02

3736

2022-12-31 08:26:02

999+

7-1文件上传解析漏洞（一）（二）

7-1文件上传解析漏洞（一）一、一句话木马webshell=>网站会话[拥有网站权限]getshell=>获取会话<?php eval($_REQUEST[\'a\']);?>一句话木马的核心，就是用户传参的数据是当做了代码执行eval是会将后面的字符串当做代码执行，$_REQUEST[\'a\']表示从request请求中获取a的值。可以将要执行的代码传给.php的a的值，就会执行，拿到服...

PHP 漏洞管理CodeArts Inspector

Gere 2022-12-31 08:25:21

7700

2022-12-31 08:25:21

999+

6-3 Dom Based XSS

一、什么是Dom Based XSS DOM—based XSS漏洞是基于文档对象模型Document Object Model，DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口，它允许程序或脚本动态地访问和更新文档内容、结构和样式，处理后的结果能够成为显示页面的一部分。DOM中有很多对象，其中一些是用户可以操纵的，如uRI ，location，refelTer等。客户端的脚本程...

网站通用安全

Gere 2022-12-31 08:24:26

3625

2022-12-31 08:24:26

999+

总条数：96

100

上滑加载中

https://www.baidu.com/s?ie=utf-8&f=3&rsv_bp=0&rsv_idx=1&tn=baidu&wd=sed%20%E6%9B%BF%E6%8D%A2%E5%AD%97%E7%AC%A6%E4%B8%B2&rsv_pq=c7db61a600035dc5&rsv_t=5e19yEsbV9N5fIvdlGRU

快速交付

+ 关注