发布于 2022-03-16 XXE(XML External Entity Injection) 89 热度 啥也没有呀 渗透测试基础 XXE解释 XXE:XML外部实体注入(被各种后端脚本调用) =>XML:(存数据不会做任何事情)(像HTML|传输数据|无 …
发布于 2022-03-16 SSRF(服务器端请求伪造) 137 热度 啥也没有呀 渗透测试基础 对于SSRF的认识 SSRF :服务器因为你的传参偷偷发送数据包 CSRF :浏览器因为JS偷偷的发送数据包 C(client): …
发布于 2022-03-16 CSRF(跨站请求伪造) 215 热度 啥也没有呀 渗透测试基础 对于CSRF的认识 任何的网站功能,本质都是数据包的传递 CSRF的本质就是在不知情的情况下偷偷发送了数据包。 (信任) (aja …
发布于 2022-03-16 文件上传及解析漏洞 126 热度 啥也没有呀 渗透测试基础 条件: 有上传点(可能有存在上传代码,函数。。。) 上传文件可以被解析 上传文件可以被访问 可能存在的地方 可以上传文件的任意地方 …
发布于 2022-03-16 Dom型XSS 152 热度 啥也没有呀 渗透测试基础 XSS回顾 XSS(跨站脚本攻击) (前端注入):用户输入的数据被当作前端代码进行执行 检测:<script>aler …
发布于 2022-03-16 存储型XSS 136 热度 啥也没有呀 渗透测试基础 XSS平台的利用: 借Cookie => 读取Cookie发送出来 (ajax异步传输 )发送方要能找到(公网IP) XSS …
发布于 2022-03-16 Oracle—-报错注入 127 热度 啥也没有呀 渗透测试基础 Oracle数据库简述 Oracle数据库存在虚表 dual,dual是一个单行单列的虚拟表。 dual是一个哑表,当查询的字段并 …
发布于 2022-03-16 MSSQL—-反弹注入 125 热度 啥也没有呀 渗透测试基础 一、准备环境 公网下的mssql数据库 一个test空表 二、mssql简单知识 mssql中系统自带表 sysobjects 记 …
发布于 2022-03-16 DNS注入 131 热度 啥也没有呀 渗透测试基础 什么是 DNS DNS是域名解析服务器,负责将域名转化为对应的IP地址。 DNSlog就是存储在DNS服务器上的域名信息,类似于日 …