分类 web安全 下的文章

字符串连接函数concat(str1,str2) //将字符串首尾相连 将多个字符串连接成一个字符串。 concat_ws(separator,str1,str2) //将字符串用指定连接符连接 例如 213|213 group_concat()// 字段拼接 例如 admin,Gordon,Hack,Pablo,Bob 字符串截取left(str,index) //从左边第.......

SSRF(Server-Side Request Forgery, 服务端请求伪造),攻击者伪造服务端发起的请求并执行,从而获得一些数据或进行攻击危害1.对内网的端口和服务进行扫描,对主机本地的一些敏感信息获取2.利用一些应用漏洞和一些协议进行攻击常见容易造成漏洞的php函数以及利用1.file_get_contents() 2.fsockopen() 3.curl_exec() 逐.......

今天看到一个XSS漏洞,插入点在一个有hidden 属性的input 标签,大致情况如下:<input type="hidden" name="returnurl" value="[USER INJECT]" /> 正常情况下的XSS应当是:http://victim/?value=” onclick=”aler.......

WebLogic组件介绍WebLogic是美国Oracle公司出品的一个applicationserver,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和JavaEnterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是.......

思路以前的思路常规,就是定义一个变量b:$b='';为空,$b = null;,$b = "\n";然后变量a: $a = $_GET['1'];,eval($a.$b);,或者eval($b.=$a); 。但是现在这种方法基本报一级或者直接杀,查出某个变量。<?php $m=$_GET['1']; $a=substr($m,0,1); $b=substr.......