pikachu靶场通关教程(十一)——PHP反序列化
发布于 2024-03-26
一、介绍 PHP反序列化漏洞,源于对用户提供的序列化数据缺乏充分的安全检查和不当使用PHP的“魔术方法”,从而允许攻击者通过构造的 …
pikachu靶场通关教程(十)——敏感信息泄露
发布于 2024-03-26
一、介绍 敏感信息泄露漏洞是指由于设计、编程错误、配置不当或防护措施不足,使得攻击者能够未经授权访问、获取、披露或利用本应受到保护 …
pikachu靶场通关教程(九)——目录遍历
发布于 2024-03-25
一、介绍 目录遍历,主要源于服务器端程序在处理用户提供的文件名或路径参数时,未能实施充分的安全验证和过滤,从而使得攻击者能够利用特 …
pikachu靶场通关教程(八)——越权访问
发布于 2024-03-25
一、介绍 越权,是由于开发时逻辑上对权限的检验不当,导致攻击者可以通过某种方式绕过权限检查过程,获取并操作本应受到严格访问控制保护 …
pikachu靶场通关教程(七)——任意文件下载与上传
发布于 2024-03-24
一、介绍 因为这两关内容较少,而且比较相关,就放到一起来讲。 任意文件下载:有时网站会提供文件下载的功能,常常由前端的参数传入一个 …
pikachu靶场通关教程(六)——文件包含
发布于 2024-03-20
一、介绍 编程人员常常将可多次重复调用的函数写入一个文件当中,在程序中直接调用该文件即可使用内容定义的函数,免去了重复编写的繁琐过 …
pikachu靶场通关教程(五)——RCE
发布于 2024-03-17
一、介绍 RCE(remote command execute),中文名称为远程命令执行。由于在Web开发中使用了如eval()、 …
pikachu靶场通关教程(四)——SQL注入
发布于 2023-10-12
总算到了SQL注入了,其实我最开始就想先讲这个部分,但还是按照顺序来了。那么话不多说,就开始吧XD 一、介绍 SQL注入是通过各种 …
pikachu靶场通关教程(三)——CSRF
发布于 2023-10-08
CSRF,即Cross-site request forgery,跨站请求伪造攻击。上一章节介绍的XSS是实现CSRF的诸多手段中 …
