2021-02-28 阅读(604)

前后文指的是游泳健将博尔特训练时1天必须要11500卡的卡路里(平常人约两千卡)，要是没有游泳健将这一前后文，医生肯定会觉得博尔特的饮食不健康。同样，CVE的评价也是一样的道理...

2021-02-28 阅读(312)

网络漏洞管理的难点是不言而喻的，自2017年以来，漏洞数量几乎翻了一番，而且每年都在增加，图中显示，2020年前三个季度CVE漏洞已近1万4千个。但最近KennaSecurity安全公司指出，2019年...

2021-02-18 阅读(231)

Feklickons.php文件也是某些方法定义，也有某些参数过滤，比如GET请求的ID和页面，POST请求的搜索等。我们也可以在这里关注一下，看能不能绕过他们。然后返回index.php，看一下default.ph...

2021-02-13 阅读(457)

广义上来说，大多数漏洞是由程序的逻辑错误引起的，可以称为逻辑漏洞，但我们这里所说的逻辑漏洞没有那么大的范围，这里指的是程序在业务逻辑上的漏洞，业务逻辑漏洞也是很大...

2021-02-13 阅读(536)

对话认证是一个非常大的话题，涉及到各种认证协议和框架，如cookie、session、sso、oauth、openid等，问题较多的在cookie上，cookie是Web服务器返回给客户的常用文字串，用于识别用户的身份...

2021-02-11 阅读(274)

什么是二次漏洞？首先要结构利用代码写入网站保存，在第二次或多次请求后调用攻击代码触发或修改配置触发的脆弱性被称为二次脆弱性。二次漏洞有点像存储XSS的味道。即使payloa...

2021-02-10 阅读(236)

安全业界内有句老话，所有的用户输入都是有害的，我们所有的网站安全测试都是基于这个原理来展开详细的渗透测试。既然所有的用户输入都是有害的，如何让这种危害出现，这就引...

2021-02-09 阅读(305)

根据文章的说法，地址格式如下: 默认情况下，这种格式的菜刀无法连接，也说菜刀不支持SOAP的方式上传payload，因此 同时连接asmx文件会出现下面的图错误，这个shell连接客户端被waf杀...

2021-02-09 阅读(274)

该RCE是RemoteCommand/CodeExecute、远程命令/代码执行这两种漏洞的简称。 远程代码执行(操作系统命令注入或简称命令注入)是一个漏洞。黑客注入的payload将作为操作系统命令来运行。OS命令...

2021-02-08 阅读(302)

这个问题我继续深入。最终在两个小时内找到了四个相同的漏洞。这个故事想阐述哪些呢。 1.当你挖不到漏洞时，你可以尝试改变你的想法。2.当你挖不到漏洞时，你可以看看你以前发...