天道酬勤

标签:漏洞原理

解析漏洞汇总-HackerGu‘s Blog
Web安全

解析漏洞汇总

Gu阅读(383)评论(0)赞(0)

总结一下最近对中间件解析漏洞的学习,在学习中发现,解析漏洞大多是由于网站管理员的错误配置导致的,所以我们在日常管理的过程中,只要严格注意中间件的配置,就可以杜绝大部分的解析漏洞。 Apache解析漏洞 Apache多后缀解析漏洞 IIS解析...

【Vulhub】——Nginx文件名逻辑漏洞-HackerGu‘s Blog
Web安全

【Vulhub】——Nginx文件名逻辑漏洞

Gu阅读(294)评论(0)赞(1)

漏洞介绍 该漏洞是由于错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过、代码执行的连带影响。 Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ \.php$ ...

【Vulhub】——Nginx解析漏洞-HackerGu‘s Blog
Web安全

【Vulhub】——Nginx解析漏洞

Gu阅读(417)评论(0)赞(1)

漏洞介绍 Nginx解析漏洞与版本无关,是由于用户配置php不当造成的。但在高版本的php中,由于“security.limit_extensions”的引入,使得该漏洞难以被成功利用。 漏洞原理 当用户请求的url后缀为123.jpg/1...

IIS6.0解析漏洞-HackerGu‘s Blog
网络安全

IIS6.0解析漏洞

Gu阅读(1305)评论(0)赞(0)

IIS简介 IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是Windows NT版本的可选包,随后内置在Win...

命令执行漏洞-HackerGu‘s Blog
Web安全

命令执行漏洞

Gu阅读(402)评论(0)赞(0)

##介绍 应用程序有时需要调用一些执行系统命令的函数,如在PHP中,使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数的参数时,就可以将恶意的系统...

文件上传漏洞之JS前端检测-HackerGu‘s Blog
Web安全

文件上传漏洞之JS前端检测

Gu阅读(567)评论(0)赞(0)

##介绍 在Web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,例如企业的OA系统,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,Web应用受到攻击的风险就越大,如果Web应用存在文件上传漏洞...

phpStudy后门-HackerGu‘s Blog
Web安全

phpStudy后门

Gu阅读(425)评论(0)赞(0)

##phpStudy简介 phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境...

XXE漏洞-HackerGu‘s Blog
Web安全

XXE漏洞

Gu阅读(697)评论(0)赞(1)

##介绍XXE漏洞 XML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包...

反射型XSS之php5.2版本踩小坑-HackerGu‘s Blog
Web安全

反射型XSS之php5.2版本踩小坑

Gu阅读(265)评论(0)赞(0)

##反射型XSS 反射型XSS又称非持久型XSS,这种攻击方式往往具有一次性。 攻击方式: 攻击者通过构造恶意链接,并将其发送给受害者,待受害者点击链接之后,服务器就接收到受害者的请求并进行处理,然后服务器把带有XSS代码的数据发送给受害者...

专注黑客技术的研究

联系我们联系我们