腾讯云
开发者社区
文档
建议反馈
控制台
登录/注册
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
文章/答案/技术大牛
搜索
搜索
关闭
发布
首页
学习
活动
专区
工具
TVP
腾讯云架构师技术同盟
返回腾讯云官网
渗透测试专栏
专注于网络安全领域的系列文章,旨在教育读者如何模拟测试来评估计算机网络、应用程序、信息系统和其他IT资产的安全性
专栏成员
举报
48
文章
10738
阅读量
16
订阅数
订阅专栏
申请加入专栏
全部文章(48)
安全(44)
腾讯技术创作特训营S9(22)
渗透测试服务(16)
腾讯技术创作特训营S10(10)
热点技术征文第十期1024程序员节(6)
渗透测试(5)
安全防护(2)
搜索文章
搜索
搜索
关闭
渗透测试逻辑漏洞原理与验证(5)——业务逻辑问题
安全
不同的项目有不同的功能,不同的功能需要不同的实现,实现这些核心功能的代码就叫业务逻辑。
zhouzhou的奇妙编程
2024-12-12
115
0
渗透测试逻辑漏洞原理与验证(4)——权限控制问题
安全
某个主体(subject)对某个客体(object)需要实施某种操作(operation),系统对这种操作的限制就是权限控制。
zhouzhou的奇妙编程
2024-12-12
115
0
渗透测试逻辑漏洞原理与验证(3)——会话管理问题
安全
HTTP协议本身是“无状态”“无连接”的,也就是说HTTP协议本身并不会记住客户端访问的上下文,也无法保存客户端的各种状态,这其中就包括登录状态。如果HTTP不能保存用户的登录状态,那就意味着用户在每次访问需要身份验证的网站时都必须填写用户名及密码,这里的“每次访问”是指每个单次的HTTP请求包括刷新一次页面。为了解决上述的问题,Web应用程序就需要使用会话这个概念,即用户登录成功后为其建立一个会话,通过会话记录用户的各种状态,通常使用Cookie、Session及Token实现会话机制。令牌就是这一类用于维持用户会话状态的方法。
zhouzhou的奇妙编程
2024-12-12
128
0
渗透测试逻辑漏洞原理与验证(2)——验证机制问题
安全
验证机制是应用程序防御恶意攻击的中心机制。它处于防御未授权的最前沿,如果用户能够突破那些防御,他们通常能够控制应用程序的全部功能,自由访问其中的数据缺乏安全稳定的验证机制,其他核心安全机制(如会话管理和访问控制)都无法有效实施
zhouzhou的奇妙编程
2024-12-12
147
0
渗透测试逻辑漏洞原理与验证(1)——逻辑漏洞概述
安全
在某种程度上来说,信息安全就是通过控制如何访问信息资源来防范资源泄露或未经授权修改的工作。
zhouzhou的奇妙编程
2024-12-11
181
0
渗透测试文件上传漏洞原理与验证(7)——上传漏洞防御
安全
判断文件类型时,可以结合使用后缀名检测、MIMEType检测、文件内容检测等方式。在文件类型检查时,通常采用白名单限制安全的文件类型,因为黑名单常常会出现遗漏或者大小写绕过等问题,如:
zhouzhou的奇妙编程
2024-12-05
220
0
渗透测试文件上传漏洞原理与验证(6)——Tomcat任意文件上传
安全
Tomcat配置文件web.xml中,servlet配置了readonly=fasle时,会引发任意文件上传漏洞。
zhouzhou的奇妙编程
2024-12-05
226
0
渗透测试文件上传漏洞原理与验证(5)——Nginx文件解析漏洞
安全
使用 docker run -d -it-p 本机端囗:80 ubuntu:14.04.5 启动镜像
zhouzhou的奇妙编程
2024-11-26
194
0
渗透测试文件上传漏洞原理与验证(4)——Apache文件解析漏洞
安全
Apache文件解析漏洞与用户的配置有密切关系。严格来说,属于用户配置问题,这里要讲解配置出错的原因以及修复方法,所以需要准备漏洞复现环境。
zhouzhou的奇妙编程
2024-11-26
193
0
渗透测试文件上传漏洞原理与验证(3)——Web容器及IIS
安全
web容器是一种服务程序,在服务器一个端口就有一个提供相应服务的程序,而这个程序就是处理从客户端发出的请求,如JAVA中的Tomcat容器,ASP的IS都是这样的容器。一个服务器可以有多个容器。
zhouzhou的奇妙编程
2024-11-26
100
0
渗透测试文件上传漏洞原理与验证(2)——文件上传检测与绕过
腾讯技术创作特训营S10
客户端(Client):或称为用户端(前端),与服务器相对应。由于客户端对于文件上传漏洞的防御是通过JS代码实现的,所以客户端检测与绕过也称为JS检测与绕过。
zhouzhou的奇妙编程
2024-11-19
233
0
渗透测试文件上传漏洞原理与验证(1)——文件上传漏洞概述
安全
腾讯技术创作特训营S10
文件上传是现代互联网常见的功能,允许用户上传图片、视频、及其他类型文件,向用户提供的功能越多,Web受攻击的风险就越大
zhouzhou的奇妙编程
2024-11-18
395
0
渗透测试命令执行漏洞原理与验证(4)——命令执行漏洞及防御
安全
腾讯技术创作特训营S10
DVWA是基于PHP/mysql环境开发的所有需要PHP/MYSQL环境来支持的运行两个条件:
zhouzhou的奇妙编程
2024-11-17
122
0
渗透测试命令执行漏洞原理与验证(3)——系统命令执行
安全
腾讯技术创作特训营S10
本文部分图片摘自深信服安全服务认证工程师课程课件中,为方便个人学习使用,勿作商用!!!!文字内容为自己手打,并非直接搬运!如有侵权,请联系删除!!!
zhouzhou的奇妙编程
2024-11-17
98
0
渗透测试命令执行漏洞原理与验证(2)——远程命令执行
安全
腾讯技术创作特训营S10
如果页面中存在这些函数并且对于用户的输入没有做严格的过滤,那么就可能造成远程命令执行漏洞。
zhouzhou的奇妙编程
2024-11-14
121
0
渗透测试命令执行漏洞原理与验证(1)——命令执行漏洞概述
安全
腾讯技术创作特训营S10
命令执行漏洞是指攻击者可以随意执行系统命令,分为远程命令执行(远程代码执行)和系统命令执行两类。
zhouzhou的奇妙编程
2024-11-13
304
0
渗透测试文件包含漏洞原理与验证(3)——PHP封装伪协议
安全
腾讯技术创作特训营S10
PHP 有很多内置 URL 风格的封装协议,这类协议与fopen()、 copy()、 file_exists()和 filesize()的文件系统函数所提供的功能类似。
zhouzhou的奇妙编程
2024-11-12
163
0
渗透测试文件包含漏洞原理与验证(2)——文件包含漏洞利用
腾讯技术创作特训营S10
文件包含漏洞可以分为LFl(Local File Inclusion,本地文件包含)和RFI(Remote File lnclusion,远程文件包含)两种。而区分二者最简单的办法就是通过查看php.ini中是否开启了allow_url_include。如果开启就有可能包含远程文件。
zhouzhou的奇妙编程
2024-11-12
324
0
渗透测试文件包含漏洞原理与验证(1)——文件包含概述
腾讯技术创作特训营S10
把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,无需再次编写函数。这一调用文件的过程被称为包含。
zhouzhou的奇妙编程
2024-11-11
195
0
渗透测试XSS漏洞原理与验证(9)——XSS相关工具及使用
安全
腾讯技术创作特训营S10
打开Proxy功能中的Intercept选项卡,确认拦截功能为"Interception is on"状态,如果显示 为"Intercept is off"则点击它,打开拦截功能。
zhouzhou的奇妙编程
2024-11-11
255
0
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档
