会话劫持和会话固定漏洞 会话劫持和会话固定漏洞 会话劫持和会话固定漏洞 # 会话劫持 会话劫持(Session hijacking),是一种通过获取用户 Session ID 后,使用该 Session ID 登录目标账号的攻击方法。 受害者登录站点,服务器返回一个会话标识(Session ID) 黑客捕获 2026-05-18 Web安全 0 Rank
命令执行漏洞 命令执行漏洞 命令执行漏洞 代码执行和命令执行区别 代码执行:可执行脚本语言代码 命令执行:可执行系统命令(Linux、Windows) # PHP代码执行 eval() //把字符串作为PHP代码执 assert() //检查一个断言是否为 FALSE,可用来执行代码 preg_replace() //执行一 2026-05-18 Web安全 0 Rank
文件包含漏洞 文件包含漏洞 文件包含漏洞 # 本地文件包含(LFI) 漏洞成因 文件包含漏洞的产生原因是 PHP 语言在通过引入文件时,引用的文件名,用户可控 传入的文件名校验不严,能操作预想之外的文件,可能导致意外的文件泄露甚至恶意的代码注入 当被包含的文 2026-05-18 Web安全 1 Rank
文件上传漏洞 文件上传漏洞 文件上传漏洞 # 漏洞概述 任意文件上传漏洞是因为对上传的文件校验不严导致攻击者上传可执行脚本接管服务器。 校验方法主要分客户端校验(前端)和服务端校验。 修复方案 1)在将文件保存在本地前就进行相应的安全检查 2)使用白名单限制文件扩展名 3)对上传后的文件 2026-05-18 Web安全 6 Rank
OWASP Top 10 漏洞详解 OWASP Top 10 漏洞详解 OWASP Top 10 漏洞 OWASP top 10 是一个列出十种最常见Web应用程序安全风险的清单。通过在编写代码和执行测试时考虑这些风险,开发人员可以创建更安全的应用程序,保护用户机密数据免受攻击者的侵害。 什么是OWASP? OWASP,即开放式全球应用程序安全项目,是一个专注于软件安全 2026-05-18 SRC思路 4 Rank
Nuclei:使用Nuclei查找漏洞的终极指南 Nuclei:使用Nuclei查找漏洞的终极指南 使用Nuclei查找漏洞的终极指南 高效、可扩展、灵活的开源漏洞扫描工具。 介绍 Nuclei 是一款快速、高效且可扩展的漏洞扫描器。它可以在短短几分钟内扫描数千个主机。 Nuclei引擎使用基于YAML的模板来定义检测漏洞所需的步骤。作为一款开源工具,我们鼓励社区为模板库和代码库做出贡献。这意味着 2026-05-18 SRC思路 1 Rank
小程序/Web端加密鉴权绕过案例全复现 小程序/Web端加密鉴权绕过案例全复现 本文通过六个真实渗透测试案例,深入剖析小程序与Web端常见的加密鉴权机制,手把手演示如何通过反编译、动态调试、JS逆向与脚本复现,精准定位加密逻辑、还原签名算法,并最终实现越权访问、信息遍历与账号接管 本文通过六个真实渗透测试案例,深入剖析小程序与Web端常见的加密鉴权机制,手把手演示如何通过反编译 2026-05-18 SRC思路 3 Administrator
记一次登录框0-1渗透突破 记一次登录框0-1渗透突破 记录一次公司渗透项目0-1 突破登录框案例,操作简单但思路足够细心连贯,无论是刚入门漏洞挖掘还是对于登录框无从下手的师傅都能有所启发,将我所做的每一步操作及为什么这样做的思路详细阐述 记录一次公司渗透项目0-1 突破登录框案例,思路简单但操作足够细心连贯,无论是刚入门漏洞挖掘还是对于登录框无从下手的 2026-05-18 SRC思路 5 Administrator
WEB安全梳理:访问控制漏洞 WEB安全梳理:访问控制漏洞 一、什么是访问控制漏洞? 访问控制(Access Control)用于限制用户“能访问什么资源、能执行什么操作”。 当系统没有正确校验用户身份与权限时,就会产生: 越权访问 未授权操作 数据泄露 管理员功能被普通用户调用 这是 Web 系统中最常见、危害最大的漏洞之一。 ( 2026-05-09 SRC思路 70 Administrator