jimmysmith -
DVWA之CSRF【low-high】全流程解析
一.引言
1.CSRF概述:
CSRF(Cross-site request forgery),即跨站請求偽造。指攻擊者利用服務器對用户的信任,從而欺騙受害者在不知情的情況下執行由攻擊者發起的惡意請求,從而完成非法操作(修改密碼,轉賬等)。在CSRF的攻擊場景中,攻擊者會偽造一個請求(一般是鏈接),用户一旦點擊了鏈接,整個攻擊就完成了。所以CSRF也被稱為是"one click"攻擊。
網絡安全
jimmysmith -
upload-labs靶場-第十七關詳解
upload-labs第十七關是一個涉及二次渲染的關卡。
首先打開本關後查看提示:
看到提示告訴我們本關重新渲染了圖片,説明僅是上傳普通的圖片馬可能會失效。所以我們先上傳一張圖片馬,看看會發生什麼。
我們先準備一張圖片文件(後綴為gif | png | jpg)都行,然後再準備一個php文件,在裏面寫入一句話木馬:
?php @eval($_POST['code']);?
準
網絡安全
jimmysmith -
【攻防世界】web | easyphp詳細題解WP
## 今天我們來解析一道【攻防世界】中的web題--easyphp
首先我們打開這道題的場景:
發現這道題一上來就給了我們一大段的php代碼,很明顯這是一道代碼審計題,因此我們需要看懂這段代碼的意思後來構造符合代碼的payload。
大概審完代碼後我們知道只有當\(key1和\)key2均為1時才會包含Hgfks.php並輸出flag,因此這是一道設計PHP弱類型比較、函數行為差異與邏輯矛盾
網絡安全
