• 欢迎访问行云博客,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入行云博客 QQ群
  • 本站广招各类优秀作者,详情可以加群联系
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏行云博客吧
SSRF服务端请求伪造——原理及绕过姿势

SSRF服务端请求伪造——原理及绕过姿势

原理SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的……

PHP安全配置

PHP安全配置

一、屏蔽PHP错误信息在配置文件中,设置display_errors=On,开启了PHP错误显示,在PHP程序遇到错误时,会暴露PHP文件和系统路径,从而容易被威胁,我们需要设置:;默认开启;Default Value: On;研发环境开启;Development Value: On;生产环境开启;Production Value: Off;……

PHP建议禁用的危险函数

PHP建议禁用的危险函数

PHP配置文件中的disable_functions选项能够在PHP中禁用指定的函数。PHP中有很多危险的内置功能函数,如果使用不当,可造成系统崩溃。禁用函数可能会为研发带来不便,但禁用的函数太少又可能增加研发人员写出不安全代码的概率,同时为黑客非法获取服务器权限提供遍历。在PHP配置文件中添加需要禁用的函数可以有效避免webshell。在PHP中配置如下……

PHP安全函数过滤

PHP安全函数过滤

这篇文章给大家介绍的内容是关于php中安全过滤函数的总结(附代码),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。htmlentities() 函数把字符转换为 HTML 实体1234567891011121314<?php   $a = $_GET[fname]; $a1 = h……

XSS游戏挑战详解(下)

XSS游戏挑战详解(下)

前文:XSS游戏挑战详解(上)level-11查看源代码,发现本关与第十关类似,还发现t_ref参数的值包含上一题提交的参数此时,利用burp抓包,修改referer1" type="text" onclick="alert(1)level-12同上,查看源代码,发现t_ua……

XSS游戏挑战详解(上)

XSS游戏挑战详解(上)

前言最近刚学到xss,老师发了一个靶场,刚好拿来练练手,提升下技术,本文用于记录。level-1查看源代码,发现有参数name,那么尝试最基本的攻击,通关成功。1<script>alert(1)</script>level-2利用第一关的代码,发现输入的值在input标签内,这时尝试闭合标签……

web渗透测试靶站开源系统

web渗透测试靶站开源系统

分享几个web渗透测试常用网站(靶场)DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。链接地址mutillidaemutillidaemutillidaemutillidae是一……