技术栈
pikachu
摸鱼也很难
23 天前
笔记
·
安全
·
web安全
·
sql注入
·
pikachu
小迪安全第四十二天笔记 简单的mysql注入 && mysql的基础知识 用户管理数据库模式 && mysql 写入与读取 && 跨库查询
之前的安全开发我们学习了 php联动数据库的模式 ,这个模式是现在常用的模式 这一节来学习 如何 进行数据库的注入和数据库相关知识
H轨迹H
1 个月前
pikachu
·
web漏洞
pikachu文件上传_2024-11-26
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。
来日可期x
1 年前
安全
·
web安全
·
网络安全
·
系统安全
·
csrf
·
pikachu
·
跨站请求伪造
Pikachu靶场——跨站请求伪造(CSRF)
还可以参考我的另一篇文章:跨站请求伪造(CSRF)全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密码等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。
来日可期x
1 年前
sql
·
web安全
·
网络安全
·
系统安全
·
sql注入
·
pikachu
Pikachu靶场——SQL注入漏洞
在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。
来日可期x
1 年前
安全
·
web安全
·
网络安全
·
靶场
·
系统安全
·
pikachu
·
文件上传漏洞
Pikachu靶场——文件上传漏洞(Unsafe upfileupload)
漏洞描述文件上传是Web应用必备功能之一,如头像上传,附件分享等。如果服务器配置不当或者没有进行足够的过滤,Web用户就可以上传任意文件,包括恶意脚本文件,exe程序等等,这就造成了任意文件上传漏洞。
来日可期x
1 年前
安全
·
web安全
·
网络安全
·
系统安全
·
漏洞
·
xxe
·
pikachu
Pikachu靶场——XXE 漏洞
可参考我写另一篇文章: XXE 漏洞及案例实战漏洞描述XXE(XML External Entity)攻击是一种利用XML解析器漏洞的攻击。在这种攻击中,攻击者通过在XML文件中插入恶意实体来触发解析器加载恶意代码或文件,从而执行任意代码、读取本地文件等操作。
过期的秋刀鱼-
1 年前
pikachu
../../ 目录遍历
在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活。
过期的秋刀鱼-
1 年前
pikachu
Unsafe upfileupload
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断
Mr.洛 白
1 年前
网络安全
·
靶场
·
pikachu
pikachu中RCE出现乱码的解决的方案
输入127.0.0.1这种乱码的解决办法就是在pikachu/vul/rce/rce_ping.php目录里面的第18行代码