XXE漏洞原理及利用

XXE(外部实体注入)是XML注入的一种,普通的XML注入利用面比较狭窄,如果有的话也是逻辑类漏洞。XXE扩大了攻击面。

webgoat http 响应拆分攻击

正常输入的请求中加入恶意代码,控制HTTP响应header中的字符(Location,Set-Cookie),注入一个 %0d%0a,可以控制首部,注入两个%0d%0a,可以控制主体, 浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。

SSRF——漏洞利用(二)

SSRF的拓展用法,通过,file,gopher,dict协议对SSRF漏洞进行利用。

SSRF——weblogic vulhub 漏洞复现及攻击内网redis(一)(附批量检测脚本)

SSRF(Server-Side Request Forgery, 服务端请求伪造)利用漏洞可以发起网络请求来攻击内网服务。

基于内存 Webshell 的无文件攻击技术研究

基于 Java 的常用 Web 框架 — SpringMvc,并实现了利用多种不同的技术手段,往内存中注入恶意 Webshell 代码的无文件攻击技术。

一种绕过XSS安全机制的新型方法

确定Payload结构、探测和混淆处理

2020年仍然有效的一些XSS Payload

2020年绝大部分研究人员仍在使用的技术

你访问的网站真的安全吗?带你了解什么是SSL证书

如何才能确定一个网站是否部署了安全的SSL证书呢?

谨防隐私泄露,一个链接就能了解你的一切

某日表哥丢过来一个链接,说可以查到手机号或者邮箱号下面注册过的账号,于是有了下面的分析。由于涉及隐私,以下文章中涉及电话号码的部分我已作了隐藏,还有批量利用脚本就不放出来了,敬请见谅。

滑动验证码攻防对抗

滑动验证码绕过思路和防御方案