WEB安全-XXE

网络安全(黑客)自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知
没更新就是没更新·2023-09-22 22:29

【无标题】

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼
网安-霸哥·2023-09-22 11:03

第51期 网易云音乐前端性能监控实践 & 那些不常见却非常实用的css属性 & 携程RN渲染性能优化实践

web安全之XSS实例解析跨站脚本攻击(CrossSiteScript),本来缩写是CSS,但是为了和层叠样式表(Cascading
前端收藏家·2023-09-22 10:03

WEB安全之浅谈XSS漏洞

XSS漏洞是什么--cross-sitescript跨站脚本攻击,为了与HTML中CSS样式区分,故改名为XSS,今天本文带大家初步了解XSS的原理,成因,以及个人对于XSS漏洞的防御策略。漏洞成因首先,XSS漏洞有三种类型:1.反射型,由带有编辑框,输入框等嵌入前端代码的参数触发,与服务器后端有交互,例如前端参数输入脚本语言后由服务器解析并发送给前端,前端的HTML代码拼接后有诸如等脚本语言出现
隔壁老陈orz·2023-09-21 20:37

Web安全基础》08. 漏洞发现

web1:漏洞发现1.1:操作系统1.2:WEB应用1.3:APP应用1.4:API接口&系统端口1.4.1:API关键字1.4.2:服务&端口1.4.3:相关资源2:总结本系列侧重方法论,各工具只是实现目标的载体。命令与工具只做简单介绍,其使用另见《安全工具录》。1:漏洞发现1.1:操作系统相关资料:Goby官网:https://gobysec.nethttps://gobies.orgGoby
镜坛主·2023-09-21 20:45

web安全

一、xss根据攻击的来源,XSS攻击可分为存储型、反射型和DOM型三种。两大要素:攻击者提交恶意代码;浏览器执行恶意代码。1、存储型XSS的攻击步骤:攻击者将恶意代码提交到目标网站的数据库中。用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在HTML中返回给浏览器。用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调
钱罗罗_·2023-09-21 19:46

TWO DAY | WEB安全之OWASP TOP10漏洞

TWODAY|WEB安全之OWASPTOP10漏洞一、OWASP简介OWASP:开放式Web应用程序安全项目(OpenWebApplicationSecurityProject),OWASP是一家国际性组织机构
NeverUP.·2023-09-21 07:07

ew的使用

目录0x01需求0x02场景前提描述0x03操作0x04总结web安全学习了解:web渗透测试官网:宣紫科技0x01需求当渗透进行到内网,常需要将流量代理到内网进行进一步扩展如:端口扫描端口转发访问内网
宣紫科技·2023-09-20 19:57

网络安全—黑客技术—自学笔记

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全
羊村最强沸羊羊·2023-09-20 10:29

xxe漏洞浅谈以及复现

一、xxe利用部分————>xml声明]>————>DTD部分&xxe;————>xml部分我们主要利用DTD中的实体部分1、什么是DTD呢?
安全~小菜鸡·2023-09-20 10:24

从几道CTF学习Blind XXE

0x00前言对于传统的XXE来说,攻击者只有在服务器有回显或报错的情况下才能使用XXE漏洞来读取服务器端文件。
0xdawn·2023-09-20 10:54

XXE总结

一、XXE是什么XXE(XMLExternalEntityInjection)全称为XML外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是XML外部实体,如果能注入外部实体并且成功解析的话,这就会大大拓宽我们
C1yas0·2023-09-20 10:24

记一次excel XXE漏洞

记一次excelXXE漏洞LSA/2020-05-2109:00:16/浏览数20953安全技术漏洞分析[顶(1)](javascript:)[踩(0)](javascript:)0x00概述MicrosoftOffice从2007版本引入了新的开放的XML文件格式,基于压缩的ZIP文件格式规范,改后缀名为zip再解压缩可以发现其中多数是描述工作簿数据、元数据、文档信息的XML文件。许多网站允许上
明月清风~~·2023-09-20 10:23

利用docx实现XXE

0x00前言源于审核hackerone漏洞时的学习。好久没更新博客啦,都是存的本地。。立个flag:找个时间脱敏整理下~~0x01创建pocdocx1、借助网站生成docxhttp://206.189.182.59:4567/overwrite步骤:(1)本地新建一个正常docx文档,选择(2)填写要替换的文件,word/document.xml(3)填写XML语句(4)点击Build即可下载2、
0nc3·2023-09-20 10:23

xxe漏洞专题

xml作用:用于标记用户的数据与标记数据类型定义以及基本结构两种声明方法**内部声明DTD****引用外部DTD**#实例#内部实体结合外面的参数代的思路]>&write;123456#内部实调用方法&xxe
goddemon·2023-09-20 10:53

Java中利用EXCEL进行XXE攻击

Java中常见解析Excel引入的XXE组件复现与分析新建excel文件修改后缀为.zip在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC重新修改后缀为.xlsx结果发现直接通过
叮铃铃~·2023-09-20 10:53

XXE漏洞

XXE漏洞1.漏洞简介XXE漏洞全称XMLExternalEntityInjection,即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件
天猫来下凡·2023-09-20 10:53

web安全101之如何理解XXE

前置知识XXE如何理解?它是可扩展标记语言(XML)用于存储和传输数据。
IT老涵·2023-09-20 10:22

文件上传xlsx之XXE漏洞

excel修改设置(将excel修改后缀名,解压缩方式)_下雨了620的博客-CSDN博客_excel改为rar后没有xl1新建一个excel文件2修改后缀名为.zip格式3解压缩出文件夹4文件结构如下,可以进行修改,给excel添加一些功能键可结合VBA添加事件。5修改完成后,全选文件,进行压缩。注:不要选sss文件夹来压缩,要全选文件。6压缩文件格式选择.zip格式。7产生压缩文件8修改后缀名
LAngle9·2023-09-20 10:22

利用EXCEL进行XXE攻击

利用EXCEL进行XXE攻击原因原因MicrosoftOffice从2007版本引入了新的开放的XML文件格式,新的XML文件格式基于压缩的ZIP文件格式规范,由许多部分组成。
Xuno_·2023-09-20 10:21

web安全之XSS攻击

什么是XSS攻击XSS(Cross-SiteScripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的。常见的XSS攻击有三种:反射型、DOM-based型、存储型。其中反射型、DOM-based型可以归类为非持久型XSS攻击,存储型归类为持久型XSS攻击。1.反射型反射型
HarkAllen·2023-09-19 18:09

web安全之CSRF

什么是CSRF在了解CSRF之前我们需要科普两个前提。首先是登录权限验证的方式有很多种,目前绝大多数网站采用的还是session会话任务的方式。session机制简单的来说就是服务端使用一个键值对记录登录信息,同时在cookie中将sessionid(即刚才说的键)存储到cookie中。另外我们又知道浏览器中HTTP(s)请求是会自动帮我们把cookie带上传给服务端的。这样在每次请求的时候通过c
HarkAllen·2023-09-19 18:09

网络安全(黑客)自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼
中国红客-网络安全·2023-09-19 18:24

CTF基础 --隐写术与密码学编码

----网易云热评一、CTF类型1、websql注入、XSS、文件上传、包含漏洞、XXE、SSRF、命令执行、代码审计等2、破解题(Pwn)攻击远程服务器的服务提供服务程序的二进制文件分析漏洞并写出exp
寒羽鹿·2023-09-19 16:29

网络安全(黑客)自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知
网络安全-生·2023-09-19 07:51

Vulnhub系列靶机---XXE Lab: 1

文章目录信息收集主机发现端口扫描目录扫描漏洞利用靶机文档:XXELab:1下载地址:Download(Mirror)告诉了利用点:http://your-ip/xxe信息收集主机发现端口扫描目录扫描访问
过期的秋刀鱼-·2023-09-19 07:47

web安全总结(二)

二、因设置或设计上的缺陷引发的安全漏洞因设置或设计上的缺陷引发的安全漏洞是指,错误设置Web服务器,或由设计上的一些问题引发的安全漏洞。1强制浏览强制浏览(ForcedBrowsing)安全漏洞是指,从安置在Web服务器的公开目录下的文件中,浏览那些赝本非自愿公开的文件。强制浏览有可能会造成以下一些影响。泄露顾客的个人信息泄露原本需要具有访问权限的内容泄露未开放的文件对那些原本不愿公开的文件,为保
Hedgehog_Dove·2023-09-19 06:27

springsecurity+jwt实现认证和授权

盛世烟花springsecurity+jwt实现认证和授权记录一下,初学者SpringSecuritySpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web
小 城·2023-09-19 05:49

网络安全有哪些岗位,如何成为一位优秀的网络安全工程师?

网络安全工作现在有细分很多岗位,比如系统安全工程师、网络安全工程师、Web安全工程师、安全架构师等等,具体的会根据公司业务需求来划分。Web安全工程师主要的工作有哪些?1
网安溦寀·2023-09-19 04:42

网络安全是什么?如何成为一位优秀的网络安全工程师?

网络安全工作现在有细分很多岗位,比如系统安全工程师、网络安全工程师、Web安全工程师、安全架构师等等,具体的会根据公司业务需求来划分。网络安全工程师工作内容具体有哪些?
万天峰·2023-09-19 04:41

个人电脑php漏洞怎么修复,在PHP应用程序修复CSRF漏洞WEB安全 -电脑资料

CSRF(跨站点请求伪造)是排名前10位的OWASP漏洞之一,管理员帐户,攻击者可以执行的Web应用程序管理员的操作。不好的编码和错误是造成web应用程序存在安全漏洞的主要原因。有时,它是被攻击者典型的利用这个漏洞。在这方面的详细的文章中,我们将了解跨站点请求伪造漏洞。我们还将创建一个表单,具有很强的保护从这个漏洞。我们还将看到流行的框架,可以用来修补此漏洞的脚本和方法。什么是跨站请求伪造攻击?C
Gigiain·2023-09-19 01:36

网络安全(黑客技术)自学规划

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。
羊村最强沸羊羊·2023-09-18 21:06

网络安全(黑客)自学

2、渗透阶段3、安全管理(提升)4、提升阶段(提升)四、网络安全学习路线1、Web安全相关概念(2周)2、熟悉渗透相关工具(3周)3、渗透实战操作(5周)4、关注安全圈动态(1周)5、熟悉Windows
初阶羊·2023-09-17 14:38

使用ESAPI保证WEB安全 - 安全工具篇

ESAPI是owasp提供的一套API级别的web应用解决方案。简单的说,ESAPI就是为了编写出更加安全的代码而设计出来的一些API,方便使用者调用,从而方便的编写安全的代码其官方网站为:https://www.owasp.org/,其有很多针对不同语言的版本,其J2ee的版本需要jre1.5及以上支持ESAPI使用教程第一步:引入Mavenorg.owasp.esapiesapi2.1.0.1
DreamsonMa·2023-09-17 05:29

最新Union注入攻击及代码分析技术

点击星标,即时接收最新推文本文选自《web安全攻防渗透测试实战指南(第2版)》点击图片五折购书Union注入攻击Union注入攻击的测试地址在本书第2章。访问该网址时,页面返回的结果如图4-12所示。
Ms08067安全实验室·2023-09-17 01:31

最新Boolean注入攻击和代码分析技术

点击星标,即时接收最新推文本文选自《web安全攻防渗透测试实战指南(第2版)》点击图片五折购书Boolean注入攻击Boolean注入攻击的测试地址在本书第2章。
Ms08067安全实验室·2023-09-17 01:58

网络安全(黑客)自学

4、提升阶段(提升)1、Web安全相关概念(2周)2、熟悉渗透相关工具(3周)3、渗透实战操作(5周)4、关注安全圈动态(1周)5、熟悉Windo
网络安全-生·2023-09-16 15:54

网络安全(黑客)自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知
网络安全-生·2023-09-16 15:22

网络安全(黑客)自学

1、基础阶段2、渗透阶段3、安全管理(提升)4、提升阶段(提升)1、Web安全相关概念(2周)2、熟悉渗透相关工具(3周)3、渗透实战操作(5周)4、关注安全圈动态(1周)5、熟悉Windows/KaliLinux
没更新就是没更新·2023-09-16 11:51

Web安全与攻防

Web安全概述在Internet大众化及Web技术飞速演变的今天,在线安全所面临的挑战日益严峻。伴随着在线信息和服务的可用性的提升,以及基于Web的攻击和破坏的增长,安全风险达到了前所未有的高度。
爱编程的鱼·2023-09-16 10:44

网络安全(黑客)自学

4、提升阶段(提升)1、Web安全相关概念(2周)2、熟悉渗透相关工具(3周)3、渗透实战操作(5周)4、关注安全圈动态(1周)5、熟悉Windo
网络安全-生·2023-09-16 08:50

网络安全(黑客)自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼
网安-霸哥·2023-09-16 08:43

网络安全(黑客)自学

无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透,也有Web防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼
L世界凌乱了·2023-09-16 05:56

35个Python实战项目,完整源代码!

视频转字符动画12306B站弹幕B站滑块验证码破解GUI签名python爬取并简单分析51jobpython破解滑块验证码pothon实现代码雨效果python制作简易时钟tkinter计算器web安全
快乐星球没有乐·2023-09-15 23:08

[ 环境搭建篇 ] docker 搭建 vulhub 靶场环境

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论
_PowerShell·2023-09-15 21:11

常见web攻击

Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web
六月繁花开·2023-09-15 14:47

Web安全基础》07. 反序列化漏洞

web1:基本概念1.1:序列化&反序列化1.2:反序列化漏洞1.3:POP链2:PHP反序列化2.1:序列化&反序列化2.2:魔术方法3:JAVA反序列化3.1:序列化&反序列化3.2:反射机制3.3:相关资源本系列侧重方法论,各工具只是实现目标的载体。命令与工具只做简单介绍,其使用另见《安全工具录》。靶场参考:pikachu,WebGoat。1:基本概念1.1:序列化&反序列化序列化(Seri
镜坛主·2023-09-15 09:38

WEB漏洞原理之---【XML&XXE利用检测绕过】

Pikachu靶场--XML数据传输测试玩法-1-读取文件玩法-2-内网探针或攻击内网应用(触发漏洞地址)玩法-3-RCE引入外部实体DTD无回显-读取文件开启phpstudy--apache日志3、XXE
过期的秋刀鱼-·2023-09-15 00:29

web安全漏洞-SQL注入实验2

实验目的学习sql显注的漏洞判断原理掌握sqlmap工具的使用分析SQL注入漏洞的成因实验工具sqlmapsqlmap是用python写的开源的测试框架,支持MySQL,Oracle,PostgreSQL,MicrosoftSQLServer,MicrosoftAccess,IBMDB2,SQLite,Firebird,Sybase,SAP,MAXDB并支持6中SQL注入手段。实验内容SQL注入(
永恒之蓝1489·2023-09-14 10:12

网络安全(黑客)自学

第一阶段:安全基础第三阶段:Web安全第四阶段:渗透工具第五阶段:实战挖洞三、学习资料的推荐2.黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)书单推荐:结语一、前言:1.这是一条坚持的道路
没更新就是没更新·2023-09-14 10:09
上一页 16 17 18 19 20 21 22 23 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他