技术栈
pikachu
来日可期x
1 年前
安全
·
web安全
·
网络安全
·
系统安全
·
csrf
·
pikachu
·
跨站请求伪造
Pikachu靶场——跨站请求伪造(CSRF)
还可以参考我的另一篇文章:跨站请求伪造(CSRF)全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密码等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。
来日可期x
1 年前
sql
·
web安全
·
网络安全
·
系统安全
·
sql注入
·
pikachu
Pikachu靶场——SQL注入漏洞
在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。
来日可期x
1 年前
安全
·
web安全
·
网络安全
·
靶场
·
系统安全
·
pikachu
·
文件上传漏洞
Pikachu靶场——文件上传漏洞(Unsafe upfileupload)
漏洞描述文件上传是Web应用必备功能之一,如头像上传,附件分享等。如果服务器配置不当或者没有进行足够的过滤,Web用户就可以上传任意文件,包括恶意脚本文件,exe程序等等,这就造成了任意文件上传漏洞。
来日可期x
1 年前
安全
·
web安全
·
网络安全
·
系统安全
·
漏洞
·
xxe
·
pikachu
Pikachu靶场——XXE 漏洞
可参考我写另一篇文章: XXE 漏洞及案例实战漏洞描述XXE(XML External Entity)攻击是一种利用XML解析器漏洞的攻击。在这种攻击中,攻击者通过在XML文件中插入恶意实体来触发解析器加载恶意代码或文件,从而执行任意代码、读取本地文件等操作。
过期的秋刀鱼-
1 年前
pikachu
../../ 目录遍历
在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活。
过期的秋刀鱼-
1 年前
pikachu
Unsafe upfileupload
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断
Mr.洛 白
1 年前
网络安全
·
靶场
·
pikachu
pikachu中RCE出现乱码的解决的方案
输入127.0.0.1这种乱码的解决办法就是在pikachu/vul/rce/rce_ping.php目录里面的第18行代码