TEST_a130

IIS短文件名猜解漏洞：https://www.cnblogs.com/20180ss916/p/9602568.html[https://www.cnblogs.com/2...

TEST_a130

反序列化漏洞： 序列化：就是把一个对象变成字符串，目的就是为了方便传输，或者保存在内存，文件（可以节省内存空间），数据库中。 反序列化：就是把被序列化的字符串还原为对...

TEST_a130

XSS： XSS(跨站脚本攻击),是指攻击者在网页中嵌入恶意的客户端脚本代码，通常是js代码，这样当用户浏览网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。 ...

TEST_a130

应急响应： 应急响应(Incident Response),是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 应急响应的工作流程： 应急响...

TEST_a130

手工病毒查杀技术： 通过对目标系统的系统进程、网络连接状态、随机启动项等信息进行综合分析与判断，结合使用各种系统命令与工具，手动确认与清除病毒(木马)的技术 手工病毒查杀的...

TEST_a130

ssrf原理： 是一种由攻击者构造由服务端发起请求的一个安全漏洞，其形成的原因是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制，导致攻击...

TEST_a130

XXE原理： 当xml允许外部实体引用时,XML解析器解析了由攻击者构造的恶意xml内容,从而可致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等攻击行为。 xml...

TEST_a130

越权：访问权限控制（逻辑空间锁）是保证信息安全常用的手段，就像现实社会的锁一样。用户必须用某种身份才能登陆逻辑空间，如过存在用户A能够访问用户B的数据，并且用户A的权限小于等...

TEST_a130

本文将详细介绍如何利用web文本编辑器的漏洞来进行入侵 web文本编辑器：由于业务的需要存在基于web的文本编辑器，它是将编辑器会嵌入在网站当中，由后台或者前台调用，进行内容...

TEST_a130

暴力破解：暴力破解简单来说就是将密码进行逐个测试，直到找出正确的密码为止 暴力破解：是一攻击具手段，在web攻击中，一般会使用这种手段对应用系统的认证信息进行获取。 其过...

TEST_a130

漏洞原理：程序员开发web应用程序的时候，未对用户可控的包含文件进行严格过滤，导致攻击者可构造自己木马文件被包含，从而执行恶意代码。漏洞关键：包含的文件用户可控 文件包含...