484 1 分钟

# 这篇文章仅用于在编写文章时各功能的实现测试 将进酒・君不见 君不见,黄河之水天上来,奔流到海不复回。 君不见,高堂明镜悲白发,朝如青丝暮成雪。 人生得意须尽欢,莫使金樽空对月。 天生我材必有用,千金散尽还复来。 烹羊宰牛且为乐,会须一饮三百杯。 岑夫子,丹丘生,将进酒,杯莫停。 !! 与君歌一曲!!,!! 请君为我倾耳听。!...
532 1 分钟

# 工作原理 正常查询:应用程序将用户输入直接拼接到 SQL 语句中 sql SELECT * FROM users WHERE username = '用户输入' AND password = '用户输入' 注入攻击:攻击者输入特殊构造的字符串 用户名: admin' -- 密码: [任意] 生成的 SQL 语句变为: sql SELECT * FROM users WHERE username = 'admin' --' AND password = '任意' - 是 SQL...
937 1 分钟

# 什么是 xss 攻击 XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 Web 安全漏洞,攻击者通过在网页中注入恶意脚本代码,当其他用户浏览该网页时,这些脚本会在用户的浏览器中执行。 # 基本工作原理 攻击者发现网站存在未对用户输入进行适当过滤的漏洞 将恶意 JavaScript 代码注入到网页内容中 当其他用户访问该页面时,恶意脚本在他们的浏览器中执行 脚本可以窃取用户数据、会话 cookie 或进行其他恶意操作 # 主要类型 # 1. 反射型...
1.2k 1 分钟

# 什么是 CSRF 攻击 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种 Web 安全漏洞,攻击者诱使用户在不知情的情况下,以其已认证的身份向目标网站发送恶意请求。 # 基本工作原理 用户登录并认证了目标网站(如银行网站) 用户在同一浏览器中访问了攻击者控制的恶意网站 恶意网站包含自动向目标网站发送请求的代码 由于用户已认证,请求会携带用户的认证信息(如 Cookie) 目标网站无法区分这是用户的合法请求还是攻击者的伪造请求 # 典型攻击示例 假设银行网站的转账接口如下: GET...
1.3k 1 分钟

# 什么是文件上传漏洞 文件上传漏洞(File Upload Vulnerability)是指网站或应用程序在处理用户上传的文件时,未进行充分的安全检查,导致攻击者可以上传恶意文件(如 Web Shell、病毒、木马等),从而获取服务器控制权或执行其他恶意操作。 # 文件上传漏洞的危害 远程代码执行(RCE) 上传 Web Shell(如 PHP、JSP、ASP 等脚本),直接控制服务器。 示例:上传 shell.php ,访问后可执行任意命令。 网站篡改 上传恶意 HTML/JS 文件,进行钓鱼攻击或 XSS...