花了挺多时间的一题,学到了很多,很有必要详细记录一下 打开环境,发现是个留言板,想要发贴,需要先登入 zhangwei zhangwei666 很明显的提示,直接猜中 看着留言板,第一感觉是sql注入 ,一直在找注入点,没找到。后知后觉,还没扫源码 扫下源码 Git泄露,Githacker 恢复下, ...
分类:
其他好文 时间:
2021-01-20 12:09:28
阅读次数:
0
Top10顶级项目管理工具原创Leesen锅外的大佬2019-08-14点击左上角蓝字,关注“锅外的大佬”专注分享国外最新技术内容成功的项目都要归功于成功的项目管理。这些工具帮你踏上成功之旅!项目管理是成功完成项目并使公司变得伟大的秘诀。不,这不是标题党(clickbait)——我已经看到两家软件公司(我在那里工作)因为项目管理不善而在1-2年内濒临破产,其他一些人看到他们的产品发布推迟了几个月。
分类:
其他好文 时间:
2020-08-31 13:09:54
阅读次数:
46
http://www.zsythink.net/archives/1199 关于 留言板 友情链接 主页 Linux基础 运维技术 数据库 编程 首页运维技术IPtablesLinux基础Linux基础基础知识Linux基础常用命令正文 iptables详解(1):iptables概念 234 A+ ...
分类:
其他好文 时间:
2020-07-02 16:07:57
阅读次数:
87
dedecms默认是所有的功能几乎只要用到验证码的地方我们都需要验证的,如果要关闭一些验证功能我们可以参考下面的教程,这里介绍了关闭后台,留言板,会员系统等验证码功能关闭了。提示:支持DedeCMS V5.6 以上的所有版本取消后台登录验证码打开/data/safe/inc_safe_config. ...
分类:
其他好文 时间:
2020-05-30 16:02:34
阅读次数:
65
0x00 知识点 二次注入流程分析 1. 二次注入漏洞在CTF中常见于留言板和注册登录功能,简单来说可以分为两个步骤: 1. 插入恶意数据(发布帖子,注册账号),用mysql_escape_string()函数对恶意字符进行转义,但是再将数据写入数据库中的时候又保留了原来的数据. 2. 引用插入的恶 ...
分类:
Web程序 时间:
2020-05-19 18:46:39
阅读次数:
369
0x00:XSS盲打 简介 尽可能地于一切可能的地方提交XSS语句,只要后台管理员看到某一条语句,此语句就能被执行。可以再留言板上留下获取cookie的代码,只要管理员在后台看到,就能获取管理员的cookie。 原理就是你给前台插payload,只要后台管理员浏览过,js代码已经被管理员触发,你Xs ...
分类:
其他好文 时间:
2020-05-13 23:24:43
阅读次数:
225
织梦dedecms模板留言提交错误时返回空白页处理方法 :留言提交错误时返回空白页处理方法 默认情况下,如果我们使用dede模板中的留言板时,如果留言信息不正确或者输入内容为空时,dedecms系统可能会返回一个空白页。 这样的方式并不利于用户体验 解决这个问题实际上非常简单。 方法为: 找到ded ...
分类:
其他好文 时间:
2020-05-11 13:12:38
阅读次数:
62
第一章 css的基础概念 第二章 xss练习关卡 第三张 burpsuite 第一章 Xss就是css,跨站脚本攻击指的是攻击者往web页面插入恶意的js代码在用户浏览该网页的时候被插入了js的web网页会执行js代码,这样子去到达攻击者的目的 Xss漏洞的分类 存储型(持久型)常发生在留言板一类: ...
分类:
其他好文 时间:
2020-05-10 15:16:31
阅读次数:
153
概述 xss分类 反射型 :url里面 存储型:存到某种介质里面;留言板 dom型:与反射型xss类似.由js插入到页面 修复: HTML 实体编码 使用白名单 根据业务场景对症下药 黑名单 存储型xss 原理 实战 能输入的地方:发帖,评论,个人签名,文章标题 寻找思路:用户能够输入的地方都有可能 ...
分类:
其他好文 时间:
2020-05-02 21:18:23
阅读次数:
104