自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(4)
  • 收藏
  • 关注

原创 Web安全-表单域隐藏

前言最近在安恒的漏洞扫描器发现报了一个低危漏洞——表单域隐藏。该漏洞描述将前端HTML中包含“hidden”属性的字段均视为有低风险存在,并给出建议:检查网页表单中类型为hidden的元素,在服务器端加强校验。日常认知里,“hidden”属性不是很常用吗(比如前端密码字段),为何存在风险?为此学习并记录以下。语法简介首先来了解下HTML hidden 属性:hidden 属性规定对元...

2019-12-23 11:02:49 1151

原创 Web安全-HTTP Host头攻击

漏洞背景Host首部字段是HTTP/1.1新增的,旨在告诉服务器,客户端请求的主机名和端口号,主要用来实现虚拟主机技术。运用虚拟主机技术,单个主机可以运行多个站点。以下图为例,hacker和usagidesign两个站点都运行在同一服务器A上,不管我们请求哪个域名,最终都会被解析成服务器A的IP地址,这个时候服务器就不知道该将请求交给哪个站点处理,因此需要Host字段指定请求的主机名。我们访...

2019-12-18 12:00:20 1273

原创 Web安全-目录遍历漏洞

前言先上一张图看看什么是目录遍历漏洞:对,目录遍历就长成这样子。一般遇到目录遍历漏洞,我们常做的就是去寻找有价值的东西去下载,比如数据库:一般是没有index.php就可能出现像这样的一个目录遍历的漏洞,但是一般情况下index文件都会有的。那么怎么去找目录遍历漏洞,一般是输入到文件目录,看页面响应。比如站点上的一张图片的的连接为:http://192.168.24.190/Images...

2019-12-17 23:29:27 1096

原创 渗透测试-浅析WAF绕过

前言WAF 是什么?全称 Web Application Firewall (WEB 应用防护系统),与传统的 Firewall (防火墙) 不同,WAF 针对的是应用层。WAF是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种网络安全产品。WAF可以增大攻击者的攻击难度和攻击成本,但是不是100%安全的。目前市场上的WAF主要有以下几类:基于硬件W...

2019-12-17 19:40:12 1492

空空如也

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除