我们举例的是这个接口,而这个接口呢是使用面,目前市面上份额较大的一个库啊,这两个呢是有一些安全问题的,就是你在使用不恰当和使用不当的时候,使用版本过低呢会有一些安全问题,那首先呢我们先来说第一个。 就是关于这个打包器的东西啊,先先先先先说这个第一个啊,打波奇的东西,这个one pick他是一个什么东西,什么叫打包器啊。 我们呢先来解释一下这个打包器啊,
因为很简单的道理,我刚才在这个地方设置的时候啊,他的绑定是绑定的,什么是绑定的,这个看到没,那当兵的是小迪给放啊,并没有帮你小迪呀,小迪你小迪也放啊,对不对,但是你这个前面这个域名。 这里的设置的解析是这个IP地址,也就是说你返回这个小迪,它会返回这个IP,而IP访问就是这个内容IP访问来看到没。 IP访问和...
收录于文集 小迪安全2024笔记 · 26篇1、Web&备案信息&单位名称中发现小程序 2、小程序资产静态提取&动态抓包&动态调试 解决: 1、如何获取到目标小程序信息 2、如何从小程序中提取资产信息 #小程序获取-各大平台&关键字搜索 -微信 -百度 -支付宝 -抖音头条 #小程序体验-凡科建站&模版测试上线 测试:https:/...
进行代码审计 组件:java居多,常见有过安全漏洞组件(shiro solr log4 j sprintboot等) 框架:php java python都有 大部分CMS是识别不到的 框架:简单代码的一个整合库,如果使用框架就只需要学习框架的调用。如文件上传功能是需要很多代码来实现的,框架把这个代码进行封装,调用即可 影响:如果采用框架开发,代码的安全性...
java里面的也有,但java也很少见啊,DNET也有,当然也很少见啊,基本都是在app里面去做的这个漏洞,我们前面几节呢是讲的这个文件上传的,这个文件操作类的安全呢,有这个上传的漏洞啊。 有这个文件包含漏洞,那还有这个什么文件读取啊,文件下载呀,文件删除,但像这个删除啊,下载呀,包括这个删除呢,这个呢这块的安全问题呢...
你加速域名这里我们给他加个选项啊,他这里写可以写成一个新代表一个域名,那就是说前面的任一后面就是它的域名地址,那如果他这里写个什么3W点,比如说叫小迪八点com写什么东西。 那么他就是说小迪八点com加速啊,我家是这样配置好下属,那么假设说现在呢有一个站点啊,有个新的这个域名站点,比如说我叫个这个BBS,点...
上面讲的这两点就是想说明,中间件的配置可能会影响渗透测试。 数据库 演示的是zblog程序 1、首先演示的是access数据库(这种在实际生产环境中几乎没有了) .mdb文件直接用access软件打开 在后台文件中添加了数据,然后再打开.mdb文件,发现刚才添加的数据已经写进这个mdb文件中了。
收录于文集 小迪安全2024笔记 · 23篇来到一个新的篇章,web开发。 本章的思路是先介绍开发,开发出来一个程序后,再讲相关的漏洞。 开发分为原生开发和框架开发。 实现一个留言板的功能 留言板功能(或评论区): 1、浏览器输入呢称及内容提交 2、服务器接收数据写入数据库 3、数据库返回结果通知服务器 4、服务...
在pp里面最大这个single pp呢讲了两点啊,就是说从他的这个开发使用上面讲一部分,然后呢再来说他的这个开发,使用编队的安全问题再讲一部分啊,知识点呢核心点就是说使用和安全的一些分析。 这样子呢是能够对于我们对这个框架开发的,web应用呢有更多的这个安全方面的知识点,这是我们今天这个主点,那首先呢我们说一下...
小迪安全课程笔记 2024(二十七) P71:第72天:业务逻辑篇&水平越权&垂直越权&未授权访问&检测插件&SRC项目 - 逆风微笑的代码狗 - BV1Mx4y1q7Ny 我们今天上一下这个万物工坊的业务逻辑篇,说实话,这也不归类到我们工坊这个web应用上面