社区
CSS
帖子详情
站在信息安全方向看待送给web开发的一些参考(勿喷)
Mr_Python.
2019-11-07 11:27:41
0x01 前言: web开发对于前后端数据包的控制,验证机制,以及各种标签属性的一些过滤比如空格,/号等过滤能有效防止xss等。 0x002 信息收集 首先进入首页发现是静态主站就不要想注入了,搜集了一些信息。(站长工具) 服务器类型:nginx 页面类型:text/html 子域名80余条 国微cms 只是手机初步的进行了简单的信息搜集,我也是个弟弟望各位大佬勿喷. 国微cms2018年爆出在config.php存在注入,但想都不要想目标站没戏.(cnvd或seebug可查询漏洞)。 0x003 渗透测试 于是我便着手从子域名下手,利用必应搜索引擎进行搜索如下 搜索到某登录接口,果断打开。出现了如下的情况 这是不是很眼熟啊,但是由于我是手机抓不了包尝试注入,但是发现行不通502 bad request没办法换个思路。我抱着打道回府的心情,去尝试了一下弱口令,第一次不行、第二次、第三次我擦成功了,要笑抽了。 进入系统后发现功能完全没有啊,只有一个搜索模块存在,没有什么作用。眼看马上要完工了,特么的来着出???(可能是荒废了已经),但是都到了这里也不能放弃哈。冷静思考的我,打开了源代码发现如下js给我新天地!! 这尼玛不是找死吗??果断访问了对应/gwork/websitesetup/spelfile.aspx 哈哈哈来到天堂般的地方哈哈哈!! 这尼玛没得说啊!! 0x003 总结 每一种思路都是实战经验所带来,欲穷千里目,更上一层楼。我们只有拥有更广的攻击面,才能有高的成功率。鄙人是菜鸡,大佬们勿喷。几个小伙伴准备弄漏洞统计和论坛实战经验,望各位勿喷能多多支持。 同样系统写前后端同志们,能控制好隐藏好。 -----Mr_python
...全文
17
回复
打赏
收藏
站在信息安全方向看待送给web开发的一些参考(勿喷)
0x01 前言: web开发对于前后端数据包的控制,验证机制,以及各种标签属性的一些过滤比如空格,/号等过滤能有效防止xss等。 0x002 信息收集 首先进入首页发现是静态主站就不要想注入了,搜集了一些信息。(站长工具) 服务器类型:nginx 页面类型:text/html 子域名80余条 国微cms 只是手机初步的进行了简单的信息搜集,我也是个弟弟望各位大佬勿喷. 国微cms2018年爆出在config.php存在注入,但想都不要想目标站没戏.(cnvd或seebug可查询漏洞)。 0x00
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
Android底层技术:Linux驱动框架与
开发
于此,将框架(Framework)和设计模式(Design Pattern)应用于Linux驱动
开发
,说明了如何以面向对象、设计模式和框架概念来
看待
Linux驱动程序的架构。其直接的益处就是:让我们能基于一致的设计理念来结合Android HAL与...
Web
3 新手教程:从入门到精通
Web
3专栏作者:文心-挖掘解读最真实的
Web
3世界
Web
3教程 专题|
Web
3新手教程-第 8期如果你也喜欢
Web
3,希望在这做些有趣的、有意义的事情,那么我希望这篇文章可以帮助到你。其实在很早之前,我就计划写一篇《
Web
3 新手教程》,
送给
想要进入
Web
3 或者刚刚进入
Web
3 的小伙伴,但是考虑到两点原因,我还是打算把这件事推迟一些时日。一是在各大媒体都鼓吹 All In W...
Web
前端
开发
十日谈
转自:http://kb.cnblogs.com/page/159704/ 一直想写这篇“十日谈”,聊聊我对
Web
前端
开发
的体会,顺便解答下周围不少人的困惑和迷惘。我不打算聊太多技术,我想,通过技术的历练,得到的反思应当更重要。 我一直认为自己是“初级”前端
开发
工程师,一方面我入道尚浅,只有短短几年,另一方面我自知对技术的钻研并不深入,可能是由于环境的原因,当然最重
Web
前端
开发
体会十日谈
一直想写这篇“十日谈”,聊聊我对
Web
前端
开发
的体会,顺便解答下周围不少人的困惑和迷惘。我不打算聊太多技术,我想,通过技术的历练,得到的反思应当更重要。 我一直认为自己是“初级”前端
开发
工程师,一方面我入道尚浅,只有短短几年,另一方面我自知对技术的钻研并不深入,可能是由于环境的原因,当然最重要的是,我幸运的参与到互联网崛起的浪潮之巅。时势造就了一批技能薄弱但备受追捧的“弄潮者”,这在很大程度
《NJUPT》网络
信息安全
_期末PPT整理笔记
消息认证、数字签名、鉴别和密钥分配协议、身份认证和访问控制、PKI、IPSec、PGP、
WEB
安全、防火墙技术、虚拟专用网、入侵检测、网络诱骗系统、木马病毒
CSS
61,112
社区成员
60,730
社区内容
发帖
与我相关
我的任务
CSS
层叠样式表(英文全称:Cascading Style Sheets)是一种用来表现HTML(标准通用标记语言的一个应用)或XML(标准通用标记语言的一个子集)等文件样式的计算机语言。
复制链接
扫一扫
分享
社区描述
层叠样式表(英文全称:Cascading Style Sheets)是一种用来表现HTML(标准通用标记语言的一个应用)或XML(标准通用标记语言的一个子集)等文件样式的计算机语言。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章