2021-04-16 阅读(975)

在一个项目中，我提前拿到了网站的源代码，队里的师傅白盒审出了一个曲折的利用链，现在我再次重现并记录了这个链的挖掘过程。这条链牵涉到经典漏洞，包含:session伪造、任何文...

2021-04-09 阅读(288)

关于漏洞扫描服务中的解决方案：公网坚决扫，内网谨慎。按网络分类:互联网公开业务和内部网络业务。按照服务类型分类：网络类，高风险服务类，私人协议类。公共网络服务，业务...

2021-03-23 阅读(287)

这里提到的你的家是指企业，为什么会有这么多网站漏洞？在当前的安全趋势下，解决漏洞似乎是一件小事，但实际上是一件大事。俗话说九层之台,起于垒土。每次遇到漏洞，我们都不...

2021-03-04 阅读(209)

随着技术的发展和安全技术的普及，大多数互联网企业的网页安全漏洞可能出现在业务逻辑漏洞中，尤其是越权问题。黑盒测试会带来很多脏数据。同时，白盒扫描不可接受的误报率和...

2021-03-02 阅读(877)

今天咱们来介绍一下SQL注入测试。在对SQL注入攻击的分析中，咱们越来越多的目的是学习攻击技术和防护策略，而不是故意攻击数据库。首先咱们键入测试地址“SQL注入”。 SQL注入是...

2021-02-28 阅读(610)

前后文指的是游泳健将博尔特训练时1天必须要11500卡的卡路里(平常人约两千卡)，要是没有游泳健将这一前后文，医生肯定会觉得博尔特的饮食不健康。同样，CVE的评价也是一样的道理...

2021-02-28 阅读(312)

网络漏洞管理的难点是不言而喻的，自2017年以来，漏洞数量几乎翻了一番，而且每年都在增加，图中显示，2020年前三个季度CVE漏洞已近1万4千个。但最近KennaSecurity安全公司指出，2019年...

2021-02-27 阅读(456)

一次偶然的机会，我的朋友给我发了一个日志文件，让我看一下服务器access.log文件，说是CTF的题目，给了它这样一个access文件，随后要了flag。因为我是专业划水的，CTF基本上不碰它，...

2021-02-18 阅读(231)

Feklickons.php文件也是某些方法定义，也有某些参数过滤，比如GET请求的ID和页面，POST请求的搜索等。我们也可以在这里关注一下，看能不能绕过他们。然后返回index.php，看一下default.ph...

2021-02-13 阅读(458)

广义上来说，大多数漏洞是由程序的逻辑错误引起的，可以称为逻辑漏洞，但我们这里所说的逻辑漏洞没有那么大的范围，这里指的是程序在业务逻辑上的漏洞，业务逻辑漏洞也是很大...