【WEB安全- 闲来无事,打打靶场之骑士CMS】此文章归类为:WEB安全。 题目: 首先,打开80端口看看: 在这里找了半天没找到什么漏洞,回头读题发现漏洞存在在后台,上网搜索phpcms的后台路径通过index.php?m=admin访问 遂访问该路径 根据题干提示的账号密码进入系统 更改域名写入shell并保存 刷新后通过后台
原创 周杰伦 12小时前 阅读: 2 阅读时长: 1分钟
【WEB安全-十大Web3.0安全最佳实践方式(全篇)超长干货收藏版!】此文章归类为:WEB安全。 本教程适用于所有希望向主网推出user-ready应用程序的人员 Web3.0行业自建立以来就面临着巨大的安全挑战。因此,Web3.0生态系统及更广泛的技术领域都必须为安全做好准备,以尽快提高这个被无数技术推动的强大领域的安全
原创 周杰伦 18小时前 阅读: 3 阅读时长: 9分钟
【WEB安全-御辰:论攻击面管理平台在现代企业中的重要性】此文章归类为:WEB安全。 在当今数字化时代,企业的运营和发展高度依赖信息技术。然而,随着网络攻击手段的日益复杂和多样化,企业面临的网络安全威胁也与日俱增。攻击面管理平台作为一种新兴的网络安全解决方案,正逐渐成为现代企业保护自身利益、维护业务连续性的关键手段。攻击面管理平台的定义与
原创 周杰伦 3天前 阅读: 15 阅读时长: 4分钟
【WEB安全-反序列化漏洞练习】此文章归类为:WEB安全。 成因程序暴露或间接暴露反序列化 API,导致用户可以操作传入数据,并且没有对用户输入的反序列化字符串进行检测. 题目1:打印出phpinfo() 123456789101112131415161718192021222324252627<?phpclass car{&n
原创 周杰伦 4天前 阅读: 14 阅读时长: 9分钟
【WEB安全-CC1利用链分析】此文章归类为:WEB安全。 CC是“Commons Collections”的缩写,它是 Apache Commons Collections 库的一部分。实验环境jdk8u65maven依赖:<dependency> <groupId>commo
原创 周杰伦 2个月前 阅读: 92 阅读时长: 9分钟
【WEB安全-URLDNS反序列化利用链】此文章归类为:WEB安全。 0x00 漏洞复现实验环境DNSLog:http://ceye.io Java序列化payload生成:https://github.com/0ofo/DeswingJDK1.8复现步骤1. 先在DNSLog平台获得一个域名:2. 使用Deswing工具生成URLDNS的序列化文件:
原创 周杰伦 2个月前 阅读: 82 阅读时长: 9分钟
【WEB安全-深入理解SQL注入:原理、攻击流程与防御措施】此文章归类为:WEB安全。 摘要SQL注入攻击是一种常见的网络应用程序漏洞,攻击者通过利用未经检查的用户输入改变SQL查询,获取机密信息或者对整个数据库进行恶意操作。本文将深入探讨SQL注入漏洞的原理、风险,并提供有效的防范措施,包括参数化查询、输入验证和过滤以及编写安全的代码。引言随着互联网
原创 周杰伦 2个月前 阅读: 79 阅读时长: 9分钟
【WEB安全-Fastjson反序列化利用链分析】此文章归类为:WEB安全。 实验环境 jdk1.8windows10 Fastjson版本 1.2.24 pom依赖 12345<dependency> <groupId>com.alibaba</groupId>
原创 周杰伦 2个月前 阅读: 87 阅读时长: 9分钟
【WEB安全-记一次cms的web渗透测试练习】此文章归类为:WEB安全。 点击文章发现 尝试进行sql注入 得到漏洞为数字型通过order by语句得到字段总数为15 通过union联合查询得到显示的字段编号 将database()带入得到数据库名为cms 接下来就是查表名、字段名、具体数据 发现密码经过加密,尝试解密 通过解密得知admi
原创 周杰伦 2个月前 阅读: 84 阅读时长: 1分钟
【WEB安全-Java内存马 Filter调用链分析】此文章归类为:WEB安全。 0x00 实验环境 jdk1.8 tomcat8.5.100 步骤 使用Intellij IDEA新建maven项目,选择maven-archetype-webapp 修改pom 1234567891011121314151617181920
原创 周杰伦 2个月前 阅读: 65 阅读时长: 9分钟