WEB漏洞—XSS跨站之WAF绕过及安全修复 常规WAF绕过思路：标签语法替换，特殊符号干扰，提交方式更改，垃圾数据溢出，加密解密算法，结合其他漏洞绕过 这里我用单引号不行，访问结果是404，但是我用双引号就可以了，访问结果是200 #：类似于注释符 /：在html中有结束符的意思，因为一般的标签都是：这样的形式，所以html会认为【/】后面就没有东西了。 用其他类型的标签 “href” 和特殊符号干扰 这里我虽然是可以成功，访问但是xss平台并没有任何反应 FUZZ1https://xssfuzzer.com/fuzzer.html 采用网上的绕过方法 这里使用了编码以及特殊符号，标签替换，编码要注意要对方可以解密才行，如果对方识别不了，也不行 自动化工具说明：XSStrike主要特点反射和DOM XSS扫描特点：多线程爬虫，Context分析，可配置的核心，检测和规避 WAF，老旧的 JS 库扫描，智能payload生成器，手工制作的 HTML & ，JavaScript 解析器，强大的fuzzing引擎，盲打 XSS 支持，高效的工作流，完 ...

WEB漏洞—CSRF及SSRF漏洞案例讲解 pikachu上的概述 12345678910111213141516171819202122场景需求：小黑想要修改大白在购物网站tianxiewww.xx.com上填写的会员地址。先看下大白是如何修改自己的密码的：登录---修改会员信息，提交请求---修改成功。所以小黑想要修改大白的信息，他需要拥有：1，登录权限 2，修改个人信息的请求。但是大白又不会把自己xxx网站的账号密码告诉小黑，那小黑怎么办？于是他自己跑到www.xx.com上注册了一个自己的账号，然后修改了一下自己的个人信息（比如：E-mail地址），他发现修改的请求是：【http://www.xxx.com/edit.php?email=xiaohei@88.com&Change=Change】于是，他实施了这样一个操作：把这个链接伪装一下，在小白登录xxx网站后，欺骗他进行点击，小白点击这个链接后，个人信息就被修改了,小黑就完成了攻击目的。为啥小黑的操作能够实现呢。有如下几个关键点：1.www.xxx.com这个网站在用户修改个人的信息时没有过多的校验，导致这个请求容 ...

WEB漏洞—RCE代码及命令执行漏洞全解 代码执行代码执行【php中的eval函数】就是会将接收到的数据当作代码去执行，如下图做一个简单的例子，如下图 此时我在浏览器上传入一个值 结果是： 传入的数据不是当作字符串输出，而是被当作代码执行了，输入一个echo 123 ，不是输出echo 123，而是输出123，因为会把这个数据当作一个数据执行，echo是输出函数，所以就会输出123 系统命令执行系统命令，使用php中的system函数，顾名思义就是会将传入的值当作系统命令执行，代码如下 执行一下ping命令和ipconfig命令 可以看到是可以进行系统命令的，如果此时我执行dir命令就可以看到当前目录的所有文件了 这个也是跟目标的系统挂钩的，如果对方是linux的话就需要用，ifconfig，ls之类的命令了 漏洞形成条件：可控变量，漏洞函数比如刚刚说的【eval，system】这两个函数 白盒：代码审计 黑盒：漏扫工具，公开漏洞，手工参数及功能点 如果看到网站这个URL中有这php中的函数之类的东西，就可以测试一下【换成相关的php代码测试一下】 墨者靶场案例 ...

WEB漏洞—文件操作之文件包含漏洞全解 服务器执行PHP文件时，可以通过文件包含函数加载另一个文件中的PHP代码，并且当PHP来执行，这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时，您只更新一个包含文件就可以了，或者当您向网站添加一张新页面时，仅仅需要修改一下菜单文件（而不是更新所有网页中的链接）。 12文件包含漏洞原理，检测，类型，利用，修复等 1原理：将文件以脚本执行 1234567文件包含各个脚本代码ASP,PHP,JSP,ASPXdeng<!--#include file="1.asp" --><!--#include file="1.aspx"--><c:import url="http://thief.one/1.jsp"><jsp:include page="head.jsp"/><?php include('test.php'); ?> 文件包含函数PHP ...

WEB漏洞—文件操作之文件下载读取全解 原理产生：任意语言代码下载函数文件下载（一些网站由于业务需求，往往需要提供文件查看或文件下载功能，但若对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意敏感文件，这就是文件查看与下载漏洞。） 文件下载功能在很多web系统上都会出现，一般我们当点击下载链接，便会向后台发送一个下载请求，一般这个请求会包含一个需要下载的文件名称，后台在收到请求后 会开始执行下载代码，将该文件名对应的文件response给浏览器，从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话，则可能会引发不安全的文件下载漏洞。此时如果 攻击者提交的不是一个程序预期的的文件名，而是一个精心构造的路径(比如../../../etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。所以，在设计文件下载功能时，如果下载的目标文件是由前端传进来的，则一定要对传进来的文件进行安全考虑。 漏洞危害下载服务器任意文件，如脚本代码、服务及系统 ...

WEB漏洞—逻辑越权之水平垂直越权全解 逻辑越权简介 1.水平越权 —通过更换的某个 ID 之类的身份标识，从而使 A 账号获取（修改、删除等）B/C/D账号数据（权限相同）。 2.逻辑越权 —使用低权限身份的账号，发送高权限账号才能有的请求，获得其高权限的操作。 3.未授权访问 —通过删除请求中的认证信息后重放该请求，依旧可以访问或者完成操作。(有些操作要管理员才行) 水平越权水平越权指的是攻击者尝试访问与他拥有相同权限的用户的资源。比如某系统中有个人资料这个功能，A账号和B账号都可以访问这个功能，但是A账号的个人信息和B账号的个人信息不同，可以理解为A账号和B账号个人资料这个功能上具备水平权限的划分。此时，A账号通过攻击手段访问了B账号的个人资料，这就是水平越权漏洞。 1. 基于用户身份ID在使用某个功能时通过用户提交的身份ID（用户ID、账号、手机号、证件号等用户唯一标识）来访问或操作对应的数据。 2. 基于对象ID在使用某个功能时通过用户提交的对象ID（如订单号、记录号）来访问或操作对应的数据。 3. 基于文件名在使用某个功能时通过文件名直接访问文件，最 ...

XSS绕过总结0x01 弹窗关键字检测绕过基本WAF都针对常用的弹窗函数做了拦截，如alert()、prompt()、confirm()，另外还有代码执行函数eval()，想要绕过去也比较简单，我们以alert(‘xss’)为例，其实只需要分割alert和()即可，例如：添加空格、TAB、回车、换行：alert%20(/xss/)、alert%0A(/xss/)、alert%0D(/xss/)、alert%09(/xss/)添加多行注释：alert/abcd/(/xss/)添加注释换行：alert//abcd%0A(/xss/)、confirm//abcd%0D(/xss/)使用’’代替()：alert’xss’使用括号分割：(alert)(/xss/)、((alert))(/xss/) 使用window和top: 1234<img src=x ...

XSS总结基本命令一、标准语句 1<script>alert(/XSS/)</script> 二、尝试大小写 1<sCript>alert(1)</scRipt> 三、使用标签 1、windows事件 12345<img src="x" onerror=alert(1)><img src="1" onerror=eval("alert('xss')")>//图片加载错误时触发 2、鼠标事件 1234567<img src=1 onmouseover="alert(1)">//鼠标指针移动到元素时触发<img src=1 onmouseout="alert(1)">//鼠标指针移出时触发 四、使用标签 1、使用href属性 1234567891011<a href="https://www.qq.com">qq</a>< ...

WEB漏洞—逻辑越权之找回机制及接口安全 墨者案例分析 这里需要注意的是，就是好像是先要这个目标手机号的号码获取验证码一次，不管能不能获取到。不然就算你的操作对了，还是会提示你的验证码不对，emmm密码也符合一下3/4的原则，不知道是这个两个原因的哪个原因，或者说是验证码多获取几个多试试 得到key通关 需要知道的知识点：就是这个密码是更改谁的密码，这里是更改这里的手机号的，正常的话需要手机号和验证码进行匹配 一般的更改密码的页面是：第一个页面：输入手机号，验证码，第二个页面：重置密码 但是这里把这里两个页面合在一起了，然后这里也没有验证手机和验证码是否匹配，那么这个密码上面也说过是跟手机号进行匹配了，所以这里就可以更改目标手机号的密码 汉川招聘网，链接：http://www.0712zpw.com 这里的话我是输入了验证码，但是显示我验证码输入错误 PHP云系统，这里我的版本是和小迪老师的版本估计不是一样的所以会有一些出入，会把和小迪老师不一样的地方放出来，做比较 上图是我对发送验证码进行抓包。然后下图是小迪老师视频中的截图，这里我没有和小迪老师一样抓到这个验证 ...