Web Hacking 101 中文版 十八、内存(一) 作者:Peter Yaworski 译者:飞龙协议:CC BY-NC-SA 4.0 描述 缓冲区溢出是一个场景,其中程序向缓冲区或内容区域写入数据,写入的数据比实际分配的区域要多。使用冰格来考虑的话,你可能拥有 12 个空间,但是只想要创建 10 个。在填充格子的时候,你添加了过多的水,填充了 ...
Web Hacking 101 中文版 七、CRLF 注入 httpphphttps网络安全安全 CRLF 注入是一类漏洞,在用户设法向应用插入 CRLF 时出现。在多种互联网协议中,包括 HTML,CRLF 字符表示了行的末尾,通常表示为\r\n,编码后是%0D%0A。在和 HTTP 请求或响应头组合时,这可以用于表示一行的结束,并且可能导致不同的漏洞,包括 HTTP...
在计算机技术如日中天的今天,Web安全问题也接踵而来。但Web安全却“入门简单精通难”,涉及技术非常多且广,学习阻力很大。 为此今天分享一份94页的《Web Hacking 101》笔记,包含Web安全知识,例如HTML注入、XSS、CSRF、SQL注入、SSRF等,主要分为描述、实例和总结三部分,语言简练易懂。 目录展示 一、HTML 注入 二、HT...
在计算机技术如日中天的今天,Web安全问题也接踵而来。但Web安全却“入门简单精通难”,涉及技术非常多且广,学习阻力很大。 为此今天分享一份94页的《Web Hacking 101》笔记,包含Web安全知识,例如HTML注入、XSS、CSRF、SQL注入、SSRF等,主要分为描述、实例和总结三部分,语言简练易懂。 目录展示 一、HTML 注入 二、HT...
Web Hacking 101 中文版 五、HTML 注入 五、HTML 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 超文本标记语言(HTML)注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 ...
五、HTML 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述 超文本标记语言(HTML)注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注
Web Hacking 101 中文版 原书:Hack, Learn, Earn, with a Free E-Book 译者:飞龙 docker pull apachecn0/web-hacking-101-zh docker run -tid -p <port>:80 apachecn0/web-hacking-101-zh # 访问 http://localhost:{port} 查看文档 pip install web-hacking-101-zh web-hacking-101-zh <port> #...
Web Hacking 101 中文版 十六、模板注入 十六、模板注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 模板引擎是允许开发者或设计师在创建动态网页的时候,从数据展示中分离编程逻辑的工具。换句话说,除了拥有接收 HTTP 请求的代码,从数据库查询必需的数据并且之后将其在单个文件中将其展示给用户之外,...
这里第一个例子展示了可能的缓冲区溢出。strcpy接受字符串Larger,并将其写入到内存,无论分配的可用空间(白色格子),以及将其写入非预期的内容中(红色格子)。 越界读取 除了越过分配的内容写入数据之外,另一个漏洞时越过内容边界读取数据。这是一类缓冲区溢出,因为内容被越界读取,这是缓存区不允许的。
Web Hacking 101 中文版 十四、XML 外部实体注入(一) 十四、XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解...