相關(guān)文章

• 

  小迪安全20WEB 攻防-PHP 特性&缺陷對(duì)比函數(shù)&CTF 考點(diǎn)&CMS 審計(jì)實(shí)例

  #研究對(duì)象 PHP代碼漏洞（代碼問題） # 知識(shí)點(diǎn)： 1 、過(guò)濾函數(shù)缺陷繞過(guò) 2 、 CTF 考點(diǎn)與代碼審計(jì) 一、原理-缺陷函數(shù)-使用講解-本地 內(nèi)置函數(shù)： 大部分是比較函數(shù)（過(guò)濾時(shí)使用的函數(shù)） （1）、== 與 === ： 參考： PHP 淺談 == 和=== 中，數(shù)字和字符串比較的問題。_php 數(shù)字==字符串

  2024年01月19日

  瀏覽(32)
• 

  [CTF/網(wǎng)絡(luò)安全]BurpSuite爆破實(shí)戰(zhàn)解題詳析之BUUCTF Brute 1

  免責(zé)聲明：本文僅分享AntSword滲透相關(guān)知識(shí)，不承擔(dān)任何法律責(zé)任。 請(qǐng)讀者自行安裝BurpSuite，本文不再贅述。 在用戶名和密碼都未知的情況下，進(jìn)行用戶名、密碼的組合爆破，效率極低。 先爆破用戶名，再利用得到的用戶名爆破密碼，將提高爆破速度。 題目 操作 Burp抓包

  2024年02月06日

  瀏覽(20)
• 

  網(wǎng)絡(luò)安全ctf比賽/學(xué)習(xí)資源整理，解題工具、比賽時(shí)間、解題思路、實(shí)戰(zhàn)靶場(chǎng)、學(xué)習(xí)路線，推薦收藏！...

  ?? 對(duì)于想學(xué)習(xí)或者參加CTF比賽的朋友來(lái)說(shuō)，CTF工具、練習(xí)靶場(chǎng)必不可少，今天給大家分享自己收藏的CTF資源，希望能對(duì)各位有所幫助。 CTF在線工具 首先給大家推薦我自己常用的3個(gè)CTF在線工具網(wǎng)站，內(nèi)容齊全，收藏備用。 1、CTF在線工具箱：http://ctf.ssleye.com/? ??包含CTF比賽

  2023年04月24日

  瀏覽(24)
• 

  [CTF/網(wǎng)絡(luò)安全] 攻防世界 Web_php_include 解題詳析(php偽協(xié)議、data偽協(xié)議、file偽協(xié)議)

  這段代碼首先通過(guò) show_source(__FILE__) 顯示當(dāng)前文件的源代碼，然后通過(guò) $_GET[\\\'hello\\\'] 顯示 URL 參數(shù)中名為 hello 的值。 接下來(lái)，代碼使用 $_GET[\\\'page\\\'] 獲取 URL 參數(shù)中名為 “page” 的值，并進(jìn)行字符串替換，將 php:// 替換為空字符串 這是為了防止通過(guò) URL 參數(shù)加載本地文件或其他可

  2024年02月08日

  瀏覽(28)
• 

  【web安全】滲透測(cè)試實(shí)戰(zhàn)思路

  1. 不建議太小的公司（可能都是請(qǐng)別人來(lái)開發(fā)的，用現(xiàn)成成熟的框架） 2. 不建議一線大廠：騰訊，字節(jié)，阿里等，你懂的 3. 不建議政府部門，安全設(shè)備多，每年有護(hù)網(wǎng)，報(bào)警你就死 建議：找上市公司與子公司，有開發(fā)人員，就有漏洞 重點(diǎn)：先在天眼查那些找域名 所有上市

  2024年02月19日

  瀏覽(21)
• 

  【web-ctf】ctf_BUUCTF_web（2）

  1. [RCTF2015]EasySQL 考點(diǎn)： 二次注入 報(bào)錯(cuò)注入 正則表達(dá)式查找 reverse函數(shù) 學(xué)到的知識(shí)點(diǎn)： 二次注入原理 二次注入的標(biāo)志： （1）可以自行注冊(cè)用戶 （這是為了注冊(cè)一些特殊的用戶名到數(shù)據(jù)庫(kù)中（比如會(huì)導(dǎo)致之后報(bào)錯(cuò)、修改其他用戶的密碼等）） （2）可以使用修改密碼等 （二

  2024年02月06日

  瀏覽(24)

• Java Web 安全實(shí)戰(zhàn)：從登錄到退出

  在當(dāng)今互聯(lián)網(wǎng)時(shí)代，用戶信息安全至關(guān)重要。在Java Web開發(fā)中，Spring Security是一個(gè)強(qiáng)大且靈活的身份驗(yàn)證和訪問控制框架，它可以幫助我們構(gòu)建安全可靠的應(yīng)用程序。本文將介紹如何使用Spring Security實(shí)現(xiàn)一個(gè)安全的Java Web應(yīng)用，涵蓋登錄、記住我、授權(quán)、退出登錄、驗(yàn)證碼、

  2024年01月16日

  瀏覽(23)
• 

  Web安全測(cè)試中常見邏輯漏洞解析（實(shí)戰(zhàn)篇）

  越權(quán)漏洞是比較常見的漏洞類型，越權(quán)漏洞可以理解為，一個(gè)正常的用戶A通常只能夠?qū)ψ约旱囊恍┬畔⑦M(jìn)行增刪改查，但是由于程序員的一時(shí)疏忽，對(duì)信息進(jìn)行增刪改查的時(shí)候沒有進(jìn)行一個(gè)判斷，判斷所需要操作的信息是否屬于對(duì)應(yīng)的用戶，導(dǎo)致用戶A可以操作其他人的信息

  2024年02月10日

  瀏覽(24)
• 

  [CTF]2022美團(tuán)CTF WEB WP

  最終排名 源碼 由上源碼可知想要造成pickle反序列化需要兩步: 1.得到secret_key 2.繞過(guò)黑名單造成pickle反序列化漏洞 那么先來(lái)實(shí)現(xiàn)第一步: app.config[‘SECRET_KEY’] = os.urandom(2).hex() #設(shè)置key為隨機(jī)打亂的4位數(shù)字字母組合例如a8c3 從這里知道，想要爆破key其實(shí)并不難，可以自己試試 那

  2024年02月06日

  瀏覽(26)

• 一、CTF-Web-信息泄露（記錄CTF學(xué)習(xí)）

  目錄 1.源碼泄露? 1-1.頁(yè)面源代碼泄露? 1-2.敏感文件泄露 ???????1-2-1.備份（.swp/.bak/.beifen/~/phps等） ???????1-2-2.數(shù)據(jù)庫(kù)（mdb） ???? ??1-2-3.壓縮包(zip/tar.gz/rar/7z等) ???????1-2-4.路徑(.git/.svn/.hg/.DS_Store/WEBINF/web.xml/cvs/Bazaar/bzr) ?????2.robots.txt泄露 ?????3.404頁(yè)面泄露

  2024年02月06日

  瀏覽(23)