E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
皮卡丘靶场代码审计
【网络安全】漏洞挖掘:php
代码审计
未经许可,不得转载。文章目录正文正文在应用程序中,通过一个JavaScript注释发现了一个备份ZIP文件。解压后,获取了应用程序的代码,其中包含如下代码片段:代码首先检查变量$action是否等于'convert',如果是,则继续执行。随后对传入的变量$data使用trim()函数去除两端空白字符,并使用eval()函数执行$data的内容。显然,代码对$data没有进行任何过滤或验证,因此可以
秋说
·
2024-09-15 05:45
网络安全
php
web安全
漏洞挖掘
【网络安全 |
代码审计
】JFinal之DenyAccessJsp绕过
文章目录前言
代码审计
推理绕过Tomcat解析JSP总结概念验证阐发前言JFinal是一个基于Java的轻量级MVC框架,用于快速构建Web应用程序。
秋说
·
2024-09-15 05:13
网络安全
web安全
java
代码审计
漏洞挖掘
如何识别和防范跨站脚本攻击(XSS)?
代码审计
:定期进行
代码审计
,查找可能的安全漏洞,特别是在处理用户输
盼盼盼
·
2024-09-11 18:11
xss
安全
网络
玄机alog挖矿应急
1.首先要认识这里是
靶场
,所以此时的设备并没有与
靶场
建立连接,而是处于断开连接的状态,我们要做的就是上机排查相关日志、权限维持的相关手段等,还原攻击者的链路和人物画像。
呆呆的羊
·
2024-09-11 01:04
网络
web安全
Java
代码审计
篇:SQL注入
一、常见SQL注入1、sql语句动态拼接示例代码:Stringid=request.getParameter("id");res=st.executeQuery("SELECT*FROM\"IWEBSEC\".\"user\"WHERE\"id\"="+id);while(res.next()){intp=res.getInt("id");Stringn=res.getString("userna
zkzq
·
2024-09-09 21:16
数据库
【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
文章目录
代码审计
解题思路wakeup绕过preg_match绕过base64绕过GET传参方法二
代码审计
这段代码首先定义了一个名为Demo的类,包含了一个私有变量$file和三个魔术方法__construct
秋说
·
2024-09-08 12:29
CTF
CTF
网络安全
web安全
[极客大挑战 2020]Greatphp1
知识点:1.PHP原生类在CTF中的利用2.以及的变形3.正则表达式的取反绕过进入页面又是熟悉的php的
代码审计
.syc!
安红豆.
·
2024-09-03 15:10
android
web安全
php
网络
【甲方安全建设】富文本编辑器XSS漏洞攻击及防御详析
文章目录调研背景搭建TinyMCE富文本编辑器
靶场
富文本编辑器前端过滤富文本编辑器后端攻击后端弱过滤弱过滤1弱过滤2后端有效过滤从甲方的视角看动态安全调研背景随着Web2.0技术的普及,富文本编辑器在各种
秋说
·
2024-09-01 21:51
网络安全
xss
web安全
富文本编辑器
文章上传漏洞绕过方式(以php语言为例)
因此在上传位置,代码会对上传文件进行检查,但不免会有漏洞,通过
代码审计
,可以得出网页漏洞。二,文件上传漏洞绕过方式前端验证绕过前端认证最容易绕过,我们将验证代码部份删除,或者将js函数返回值设为1
HMX404
·
2024-08-31 12:19
web安全
web
安全漏洞
【渗透测试】利用hook技术破解前端JS加解密 - JS-Forward
Hook技术则会帮助我们无需获取加解密密钥的前提下,获取明文进行渗透测试环境准备JS-ForwardBurpsuiteFiddler网上公开的加解密逻辑漏洞的
靶场
源码某大佬搭建的公网测试环境(请礼貌使用
Hello_Brian
·
2024-08-30 19:55
渗透测试
安全
Hook技术
前端JS加解密
渗透测试
web安全
第二回:异变之时
“
皮卡丘
快躲开。”在神奇宝贝中心的对战场地上,两名少年正在对战。虽然在这个世界上,训练家之间的对战已经是司空见惯的事情了,但是不知为何,每次对战总是能吸引更多的人前来围观,迪洛就是其中之一。
捷帕索特
·
2024-08-30 16:03
XSS LABS - Level 18 过关思路
关注这个
靶场
的其他相关笔记:XSS-LABS——
靶场
笔记合集-CSDN博客0x01:过关流程本关推荐在Google浏览器中完成,因为FireFox中不会出现上图中的标签,就算你能注入,你也没触发的条件。
SRC_BLUE_17
·
2024-08-30 08:42
网络安全
#
网络安全靶场笔记
xss
前端
网络安全
web安全
国内网站安全测试6大步骤
·白盒测试完全了解,
代码审计
.·灰盒测试了解一部分东西.4.思路和细节名词解释漏洞POC验证漏洞存在的代码片段exploit利用(渗透攻击)exp(利用一个漏洞完整的程序)提权权限提升获取当
红酒味蛋糕_
·
2024-08-30 00:47
网络安全
代码审计
:Bluecms v1.6
代码审计
:Bluecmsv1.6漏洞列表如下(共计36个漏洞,附Exp,按时间顺序):未完待续…1、user.php766行处存在任意文件删除漏洞Exp:``http://127.0.0.3/bluecms
GKDf1sh
·
2024-08-29 17:35
安全
web安全
代码复审
Sqli-labs
靶场
第11关详解[Sqli-labs-less-11]
Sqli-labs-Less-11前言:SQL注入的三个条件:①参数可控;(从参数输入就知道参数可控)②参数过滤不彻底导致恶意代码被执行;(需要在测试过程中判断)③参数带入数据库执行。(从网页功能能大致分析出是否与数据库进行交互)利用orderby来测列数测显位:mysql用1,2,3,4Mysql获取相关数据:一、数据库版本-看是否认符合information_schema查询-version(
「已注销」
·
2024-08-29 14:09
sqli-labs
数据库
web安全
网络安全
mysql
sql
XSS LABS - Level 17 过关思路
关注这个
靶场
的其他相关笔记:XSS-LABS——
靶场
笔记合集-CSDN博客0x01:过关流程进入
靶场
,空空如也,右击页面,查看网页源码,找找可疑点:可以看到,
靶场
默认传参,都传递到了标签内,并且分别作为
SRC_BLUE_17
·
2024-08-29 06:51
网络安全
#
网络安全靶场笔记
xss
前端
网络安全
web安全
智能合约审计工具(一)——cloc界定审计的代码数量,审计难度。cloc,solidity metrics 使用的入门,细节与解答
为什么要界定源代码数量
代码审计
是一种评估软件代码质量、安全性和合规性的过程。
zhuqiyua
·
2024-08-28 08:21
区块链一些
智能合约
淘宝返利的软件有哪些?(推荐四个大家都在用的返利软件排行榜)
其实主流的淘宝返利APP还是很多的,而今天
皮卡丘
带大家了解一款APP就可以拿淘宝返利的方式,非常的便捷。淘宝返利app哪个最好?
氧券超好用
·
2024-08-24 07:58
DVWA
靶场
通关(CSRF)
CSRF是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF属于业务逻辑漏洞,服务器信任经过身份认证的用户。漏洞利用前提::用户必须登录、黑客懂得一些发包的请求,服务器端是不会有二次认证的,被害者是不知情的
马船长
·
2024-08-23 15:50
csrf
前端
python docker 镜像过大_【转】六种减小Docker镜像大小的方法
转自P牛,vulnhub作者,擅长
代码审计
和漏洞挖掘,今天看到他的公众号发了一篇这个,正好平时自己的工作也有需求,整理记录如下。
weixin_39627408
·
2024-03-17 17:55
python
docker
镜像过大
2024三掌柜赠书活动第十四期:网络
靶场
与攻防演练
目录前言网络
靶场
的概念和作用攻防演练的重要性和实施方法1、攻防演练的重要性2、攻防演练的实施方法关于《网络
靶场
与攻防演练》编辑推荐内容简介作者简介图书目录书中前言/序言《网络
靶场
与攻防演练》全书速览结束语前言在当今数字化时代
三掌柜666
·
2024-03-17 03:37
php
网络
web安全
docker搭建现成的
靶场
Docker安装:apt-getinstalldocker.ioUpload-labs——文件上传
靶场
搭建:因为Dockerhub上存在镜像源,所以,索性直接拉取过来,dockerpullc0ny1/upload-labs
晓幂
·
2024-02-20 22:20
docker
容器
运维
BossPlayerCTF
靶场
环境问题
靶场
下载之后,可能会出现扫描不到IP的情况,需要进行调整,参考:Vulnhub靶机检测不到IP地址_vulnhub靶机nmap扫不到-CSDN博客该靶机没有vim,需要使用vi命令去修改;改成当前网卡即可
Y4y17
·
2024-02-20 18:28
Vulnhub
安全
web安全
网络
网络安全
学习
【BUUCTF 加固题】Ezsql 速通
博主介绍博主介绍:大家好,我是hacker-routing,很高兴认识大家~✨主攻领域:【渗透领域】【应急响应】【Java】【VulnHub
靶场
复现】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连
hacker-routing
·
2024-02-20 17:50
web
CTF夺旗赛
开发语言
前端
javascript
web安全
html
php
CTF
DVWA
靶场
之 Brute Force-Low&Medium(前期配置铺垫与渗透方法及源码分析)
首先登录DVWA
靶场
DVWA默认的用户有5个,用户名及密码如下:admin/passwordgordonb/abc1231337/charleypablo/letmeinsmithy/password难度等级设置为
Myon⁶
·
2024-02-20 13:13
DVWA靶场
web
暴力破解
burpsuite
web
代理模式
web安全
w25 web漏洞之xss
pikachu
靶场
第一关-反射型xss(get)利用hpp漏洞破解第二关-反射型xss(post)登录:admin/123456修改postdata内的参数第三关-存储型xss在留言板输入message
杭城我最帅
·
2024-02-20 08:46
前端
xss
threehit漏洞复现以及防御
说白了跟sql-liql
靶场
二次注入一样,也是一个转义函数而这次是,入库的时候不转义,出库的时候会转义导致这个漏洞出现开始测试:这是我注册完test刚登录的情况找注入点更新数据的update,很容易找到在
凌晨五点的星
·
2024-02-20 07:35
网络安全
安全
web安全
面试经验分享 | 通关某公司面试
靶场
本文由掌控安全学院-冰封小天堂投稿0x00:探测IP首先打开时候长这个样,一开始感觉是迷惑行为,试了试/admin,/login这些发现都没有随后F12查看网络,看到几个js文件带有传参,就丢sqlmap跑了一下无果随后也反查了域名一下,发现没有域名,是阿里云的,这里突然醒悟,我第一步是信息收集。kalilinux启动,nmap启动,直接常规扫描一波,发现开启了这么多,ftp和ssh可以爆破,但因
zkzq
·
2024-02-20 04:46
面试
经验分享
职场和发展
淘宝返利的软件有哪些?(推荐五个大家都在用的返利软件排行榜)
其实主流的淘宝返利APP还是很多的,而今天
皮卡丘
带大家了解一款APP就可以拿淘宝返利的方式,非常的便捷。淘宝返利app哪个最好?
氧券超好用
·
2024-02-20 03:47
(二)【Jmeter】专栏实战项目
靶场
drupal部署
该专栏后续实战示例,都以该篇部署的项目展开操作。前置条件参考“(一)【Jmeter】JDK及Jmeter的安装部署及简单配置”安装部署Jmeter,从文章最后下载“Postman、Rancher.ova、VirtualBox-7.0.12-159484-Win.exe、Xshell-7.0.0144p.exe、Xftp-7.0.0144p.exe”VirtualBox安装首先,双击“Virtual
WEL测试
·
2024-02-20 02:12
JMeter接口测试实战指南
jmeter
自动化
测试工具
(五)【Jmeter】使用代理录制HTTP脚本操作步骤及注意事项
前置信息软件版本Jmeter5.6.3服务网址备注drupalhttp://192.168.88.88:18080/(二)【Jmeter】专栏实战项目
靶场
drupal部署用户名密码test1test1test2test2
WEL测试
·
2024-02-20 02:12
JMeter接口测试实战指南
jmeter
接口测试
HTTP请求
SQL-Labs
靶场
“6-10”关通关教程
君衍.一、第六关基于GET的双引号报错注入1、源码分析2、floor报错注入3、updatexml报错注入二、第七关基于文件写入注入1、源码分析2、outfile注入过程三、第八关基于GET单引号布尔盲注1、源码分析2、布尔盲注(脚本)2、布尔盲注(手工)3、布尔盲注(sqlmap)四、第九关基于GET单引号时间盲注1、源码分析2、时间盲注(手工)3、时间盲注(脚本)4、时间盲注(sqlmap)五
君衍.⠀
·
2024-02-19 23:54
SQL-Labs
渗透测试
网络安全
sql
数据库
负载均衡
运维
linux
网络安全
渗透测试
SQL-Labs
靶场
“15-20”关通关教程
君衍.一、十六关基于POST双引号布尔型时间盲注1、源码分析2、布尔盲注(手动)2、布尔盲注(脚本)3、时间盲注(sqlmap)二、十七关基于POST错误的更新1、源码分析2、报错注入三、十八关基于POST的Uagent字段注入1、源码分析2、floor报错注入3、updatexml报错注入四、十九关基于POST的Referer字段注入1、源码分析2、floor报错注入3、updatexml报错注
君衍.⠀
·
2024-02-19 23:54
SQL-Labs
网络安全
渗透测试
sql
数据库
python
java
linux
网络安全
渗透测试
SQL-Labs
靶场
“1-5”关通关教程
君衍.一、准备工作二、第一关基于GET单引号字符型注入1、源码分析2、联合查询注入过程三、第二关基于GET整型注入1、源码分析2、联合查询注入过程四、第三关基于GET单引号变形注入1、源码分析2、联合查询注入过程五、第四关基于GET双引号字符型注入1、源码分析2、联合查询注入过程六、第五关基于GET单引号报错注入1、源码分析2、floor报错注入3、updatexml报错注入点击跳转:SQL-La
君衍.⠀
·
2024-02-19 23:53
SQL-Labs
渗透测试
网络安全
sql
数据库
docker
容器
运维
web安全
php
SQL-Labs
靶场
“11-15”关通关教程
君衍.一、十一关基于POST单引号字符型注入1、源码分析2、联合查询注入3、报错注入二、十二关基于POST双引号字符型注入1、源码分析2、联合查询注入3、报错注入三、十三关基于POST单引号报错注入变形1、源码分析2、报错注入四、十四关基于POST双引号报错注入1、源码分析2、报错注入五、十五关基于POST单引号布尔型时间盲注1、源码分析2、布尔盲注(手动)2、布尔盲注(脚本)3、时间盲注(sql
君衍.⠀
·
2024-02-19 23:15
SQL-Labs
渗透测试
网络安全
sql
数据库
python
java
linux
网络安全
渗透测试
国内外黑客居然都在这些地方聚集
2.封神台
靶场
封神台-掌控安全在线演练
靶场
,是一个在线黑客攻防演练平台。在线练习
靶场
,是一个在线黑客攻防演练平台!在成长的道路上怎么能缺少打怪刷级的乐趣呢!
MR_sasa
·
2024-02-19 22:59
黑客
安全
信息安全
其他
数据挖掘
干货 | 绕过WAF的常见Web漏洞利用分析
本文仅用于技术研究与讨论,严禁用于任何非法用途,违者后果自负,作者与平台不承担任何责任测试环境PHPStudy(PHP5.4.45+Apache+MySQL5.5.53)+最新版安全狗(4.0.28330)
靶场
使用
网络安全大白
·
2024-02-19 12:44
程序员
网络安全
黑客
前端
网络安全
安全
系统安全
皮卡丘
连前十都挤不进去?《宝可梦》官方人气投票结果出炉
去年六月的时候,博士和大家分享了文章《
皮卡丘
失宠?精灵宝可梦人气票选结果出乎意料》,讲述了在海外知名论坛Reddit的宝可梦讨论区,有玩家发起了《宝可梦》系列人气票选活动。
爱游戏的萌博士
·
2024-02-19 12:05
文件上传漏洞--Upload-labs--Pass10--双写绕过
二、双写绕过原理1、首先进行
代码审计
,源代码中有黑名单和str_ireplace()函数的联合使用,将黑名单中的敏感后缀名全部都进行了删除。这就会使我们上传的test.php上传后变成test.
给我杯冰美式
·
2024-02-19 12:50
Web安全--文件上传漏洞
web安全
文件上传漏洞
文件上传漏洞--Upload-labs--Pass09(在某些版本的
靶场
里是Pass10)--点+空格+点 绕过
二、
代码审计
1、查看题目源代码上半部分,题目采取黑名单,并且对Pass05-Pass07的题目中所出现的漏洞进行了有效修复,意味着我们不再能够使用点绕过/空格绕过/大小写绕过了。
给我杯冰美式
·
2024-02-19 12:20
Web安全--文件上传漏洞
文件上传漏洞
web安全
文件上传漏洞--Upload-labs--Pass07--点绕过
二、通关思路1、首先进行
代码审计
,发现网页源代码中缺少对点的处理,即deldot()函数,可以进行点绕过。2、上传test.php文
给我杯冰美式
·
2024-02-19 12:44
Web安全--文件上传漏洞
文件上传漏洞
web安全
【web | CTF】BUUCTF [网鼎杯 2020 青龙组]AreUSerialz
天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证
靶场
环境天命:本地php是复现不了反序列化漏洞的,都不知道是版本问题还是其他问题天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行
星盾网安
·
2024-02-19 10:59
CTF
php
CFS三层靶机
参考博客:CFS三层内网
靶场
渗透记录【详细指南】-FreeBuf网络安全行业门户CFS三层靶机搭建及其内网渗透【附
靶场
环境】|TeamsSixCFS三层网络环境
靶场
实战-PANDA墨森-博客园(cnblogs.com
0e1G7
·
2024-02-15 10:55
渗透笔记
服务器
linux
运维
upload-labs文件上传漏洞
靶场
第一关发现他这个是通过客户端前端写了一个限制我们禁用srcipt即可蚁剑成功打开第二关我们上传文件2.php它提示我们文件类型不正确我们可以联想到做了后缀检测我们通过burp抓包修改后缀第三关我们上传一个.php文件不可上传尝试后缀大小写绕过、空格绕过、点绕过、:ATA绕过等操作都不行查看源代码发现全部禁止了在某些特定环境中某些特殊后缀仍会被当作php文件解析php、php2、php3、php4、
Ryongao
·
2024-02-15 05:57
网络安全
html5做一个
皮卡丘
,画一只会动的
皮卡丘
(上)
实现的
皮卡丘
样式以下图:本篇内容List:tip1--全局样式初始化,配置tip2--实现鼻子tip3--实现眼睛tip4--实现脸颊tip5--嘴巴实现1.先进行页面总体的样式配置这里咱们要在手机端展现
明月清风晓星
·
2024-02-15 01:40
html5做一个皮卡丘
Css画一只
皮卡丘
皮卡丘
*{margin:0;padding:0;box-sizing:border-box;}*::after{box-sizing:border-box;}*::before{box-sizing:border-box
木子欢儿
·
2024-02-15 01:09
css
html
css3
js
nagios
css画一个
皮卡丘
最近皮神火了,萌萌哒,很阔耐。那么用css能不能画个皮神呢?赶紧来试一下吧~*{margin:0;padding:0;}body{background:#ffe000;}.pikaqiu-container{position:relative;width:440px;height:250px;margin:30pxauto30px;}.eye{position:absolute;top:20px;
o_heart
·
2024-02-15 01:09
css
css
皮卡丘
HTML+CSS练习——
皮卡丘
(更新中)
前两天学了网页制作大白(地址:纯CSS打造网页版「大白」_Web-蓝桥云课)今天试试自己按照一张图片用HTML与CSS制作出来。原图:目前进度:还差尾巴闪电部分代码如下:HTML:<div
染星_
·
2024-02-15 01:07
css
html
safari
我让ChatGPT用CSS3画一个
皮卡丘
,还是自己画的可爱
突然想到了小时候看过的动画片《
皮卡丘
》,于是突然就想,ChatGPT肯定也看过,他哪有不知道的东西啊,于是就想着让他帮我画一个,他画出来之后,我笑了,这啥玩意儿啊。
经海路大白狗
·
2024-02-15 01:00
CSS3动画特效
css3
前端
css
chatgpt
动画
CSS画
皮卡丘
效果图index.html
皮卡丘
style.css*{box-sizing:border-box;margin:0;padding:0;}*::before,*::after{box-sizing:border-box
Dax1_
·
2024-02-15 01:00
上一页
1
2
3
4
5
6
7
8
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他