瀏覽 打開phpstudy目錄下www phpweb 可以根據(jù)關(guān)鍵詞搜索 也可以找自帶的函數(shù) 已經(jīng)把關(guān)鍵變量和函數(shù)繼承到上面了 敏感函數(shù) 可能存在漏洞的代碼標(biāo)紅
發(fā)簡信
IP屬地:湖北
-
seay php代碼審計(jì)工具(手工) -
代碼審計(jì)(網(wǎng)站搭建)創(chuàng)建庫 Navicat搭建 啟動(dòng)phpstudy navicat創(chuàng)建完用戶之后需要點(diǎn)擊打開連接 才能新建數(shù)據(jù)庫 字符集選utf-8 phpweb粘貼到phpstudy/www...
-
越權(quán)(水平越權(quán)和垂直越權(quán))一怨愤、水平越權(quán)(只要有改別人的id號(hào)就可以看到別人的信息) 原理:如果使用A用戶的權(quán)限去操作B用戶的數(shù)據(jù)诚纸,A的權(quán)限小于B的權(quán)限怨喘,如果能夠成功操作延塑,則稱之為越權(quán)操作羞福。 越權(quán)漏洞形...
-
編輯器漏洞(Ewebeditor FCKeditor)Ewebeditor 1逞敷、樣式管理:當(dāng)編輯器沒有上傳圖片的地方 找樣式添加樣式 把圖片加進(jìn)去上傳 2狂秦、上傳文件管理:遍歷目錄,在有參數(shù)的url后面加&dir=../ 3推捐、尋找...
-
任意文件上傳與下載(文件上傳)上傳文件 后臺(tái)開發(fā)時(shí)并沒有對(duì)上傳的文件進(jìn)行安全考慮或采用了有缺陷的措施裂问,導(dǎo)致攻擊者可以通過一些手段繞過安全措施從而上傳一些惡意文件,從而通過該惡意文件的訪問來控制整個(gè)后臺(tái) 文...
-
任意文件上傳與下載(文件下載)一、文件下載: 一些網(wǎng)站由于業(yè)務(wù)需求堪簿,往往需要提供文件查看或文件下載功能痊乾,但若對(duì)用戶查看或下載的文件不做限制,則惡意用戶就能夠查看或下載任意敏感文件椭更,這就是文件查看與下載漏洞...
-
XSS注入(cross site scripting)一哪审、什么是xss: 客戶端攻擊,受害者是用戶虑瀑,但是管理員也是用戶之一湿滓,意味著可以進(jìn)行“服務(wù)端攻擊” 攻擊者在網(wǎng)頁中嵌入客戶端代碼,通常是javascript編寫的危險(xiǎn)代碼 x...
-
cookies注入 偽靜態(tài)注入cookies文件包復(fù)制到虛擬機(jī) 新建cookies網(wǎng)站 端口807 給一個(gè)網(wǎng)站沒有工具怎么注入 找搜索 注冊 更新 帶參數(shù)這種有數(shù)據(jù)庫交互的地方 打開帶參數(shù)的網(wǎng)頁 and1...
-
-
堡壘機(jī) 模板機(jī) 12.13堡壘機(jī)跟跳板機(jī)一個(gè)意思,堡壘機(jī)是連接虛擬機(jī)的把夸,是一種連接手段 通過堡壘機(jī)可以直接連接我們所有的虛擬機(jī)而线,不會(huì)像用xshell一樣一個(gè)一個(gè)點(diǎn)擊鏈接,可以實(shí)現(xiàn)監(jiān)控還有預(yù)警提示 官方...
-
Weblogic攻防環(huán)境搭建 12.11weblogic是Oracle公司開發(fā)出來的中間件 跟apache iis tomcat類似 可以搭建網(wǎng)站 解壓weblogic.jar文件夾 啟動(dòng)之后自動(dòng)安裝 下一步下一步...
-
Jboss JSP tomcat中間件+strus2 asp+asps+mssql sql框架環(huán)境搭建12.111恋日、安裝 2膀篮、安裝完成,命令提示符輸入java 3岂膳、輸入javac(javac不能訪問不影響) 4誓竿、計(jì)算機(jī)屬性\高級(jí)\環(huán)境變量\系統(tǒng)變量\新建 1)、新建系統(tǒng)變量谈截,變量名為:...
-
環(huán)境搭建IIS環(huán)境+ASP環(huán)境配置筷屡、PHP環(huán)境搭建12.101、創(chuàng)建win2003系統(tǒng)簸喂,鏡像位置毙死,安裝tools 2、添加組件 3喻鳄、www.test文件粘貼到虛擬機(jī) www.test文件保存在C盤 網(wǎng)站搭建 PHP環(huán)境搭建 1.安裝p...
-
elk日志收集展示12.91.安裝iptables管理工具 yuminstalliptables-services-y 2.加載防火墻模塊 modprobeip_tables modprobeipta...
-
-
數(shù)據(jù)庫 12.71颜曾、數(shù)據(jù)庫 Occale SqlServer MySQL Mariadb 2纠拔、名詞概念 庫 一類數(shù)據(jù)存放在庫里。 表 一個(gè)庫可以有多個(gè)表 字段 定義這一列的內(nèi)容 行 具體的數(shù)...
-
tar壓縮泛豪、定時(shí)任務(wù)一稠诲、tar 打包壓縮命令 壓縮 解壓縮 1侦鹏、tar zcvf 2、zxvf 舉例 創(chuàng)建目錄 /code/www/html/ -p 這里-p是遞歸 創(chuàng)建 /code/www/h...
