pikachu靶场通关教程(十四)——SSRF
发布于 2024-11-24
一、介绍 SSRF,Server-Side Request Forgery,服务器请求伪造。攻击者通过漏洞应用等方式,伪造成服务器 …
pikachu靶场通关教程(十三)——URL重定向
发布于 2024-11-24
一、介绍 字面意思,由于一些问题,比如站点中的链接被更改站点都被拿下了为什么还要利用这种洞啊喂!,导致用户在点击链接跳转时,会跳转 …
pikachu靶场通关教程(十二)——XXE
发布于 2024-11-24
一、介绍 XXE,XML External Entity injection,XML外部实体注入漏洞。当网站在解析XML输入时,没 …
pikachu靶场通关教程(十一)——PHP反序列化
发布于 2024-03-26
一、介绍 PHP反序列化漏洞,源于对用户提供的序列化数据缺乏充分的安全检查和不当使用PHP的“魔术方法”,从而允许攻击者通过构造的 …
pikachu靶场通关教程(十)——敏感信息泄露
发布于 2024-03-26
一、介绍 敏感信息泄露漏洞是指由于设计、编程错误、配置不当或防护措施不足,使得攻击者能够未经授权访问、获取、披露或利用本应受到保护 …
pikachu靶场通关教程(九)——目录遍历
发布于 2024-03-25
一、介绍 目录遍历,主要源于服务器端程序在处理用户提供的文件名或路径参数时,未能实施充分的安全验证和过滤,从而使得攻击者能够利用特 …
pikachu靶场通关教程(八)——越权访问
发布于 2024-03-25
一、介绍 越权,是由于开发时逻辑上对权限的检验不当,导致攻击者可以通过某种方式绕过权限检查过程,获取并操作本应受到严格访问控制保护 …
pikachu靶场通关教程(七)——任意文件下载与上传
发布于 2024-03-24
一、介绍 因为这两关内容较少,而且比较相关,就放到一起来讲。 任意文件下载:有时网站会提供文件下载的功能,常常由前端的参数传入一个 …
pikachu靶场通关教程(六)——文件包含
发布于 2024-03-20
一、介绍 编程人员常常将可多次重复调用的函数写入一个文件当中,在程序中直接调用该文件即可使用内容定义的函数,免去了重复编写的繁琐过 …
pikachu靶场通关教程(五)——RCE
发布于 2024-03-17
一、介绍 RCE(remote command execute),中文名称为远程命令执行。由于在Web开发中使用了如eval()、 …