web安全 - overfit.cn

网络安全笔记--文件上传1（文件上传基础、常见后端验证、黑名单、白名单、后端绕过方式）

文件上传相关知识基础，白名单绕过、黑名单绕过

overfit同步小助手 2023-04-06 00:08:09 0 收藏

信息安全-网络安全的三大支柱和攻击向量

我们曾经设想，在即将来临的万物互联时代，要对联网的万事万物（物联网设备）都分配数字身份。中，但不会提供有关该组成员具备的访问权限的详细信息，也不会提供对特权会话期间收集的详细会话日志或键盘记录的访问能力。从上述攻击链的四个阶段来看，身份攻击的重点在于其中的两个阶段：入侵阶段和利用阶段。随着机器学习(

overfit同步小助手 2023-04-06 00:07:56 0 收藏

网络安全攻防之破解小程序积分制度（Fiddler抓包教程实战）【文末含彩蛋】

今天碰到一个微信公众号的的某个积分制功能：简单介绍就是你阅读文章可以刷积分，然后也可以使用积分，正好前段时间接触到了Fiddler（抓包神奇），想利用一下，把请求给修改了，从而增加自己的累计积分。这就是那个程序的界面，点击【我要阅读】，阅读文章后就可以增加学分，【互助发布】中可以消耗积分。仅供娱乐学

overfit同步小助手 2023-04-05 23:08:22 0 收藏

常见web安全漏洞和测试方法

1、永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式或限制长度；对单引号和双"-"进行转换等。2、永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。3、永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。4、不要把机密信

overfit同步小助手 2023-04-05 23:07:50 0 收藏

SQL注入WAF绕过

SQL注入WAF绕过的基本方法WAF绕过WAF(Web Application Firewall)的中文名称叫做“Web应用防火墙”，它依罪女全策略对Web应用程序进行保护。安全策略是WAF的灵魂，所谓的“绕过WAF”就是指通过某种方式无视WAF的安全策略，达到攻击的目的。方法1:变换大小写实例:比

overfit同步小助手 2023-04-05 23:07:40 0 收藏

零基础如何学习Web 安全，如何让普通人快速入门网络安全？

2023年，普通人应该如何入门网络安全？

overfit同步小助手 2023-04-05 22:07:59 0 收藏

Weblogic反序列化漏洞（CVE-2018-2628）

overfit同步小助手 2023-04-05 20:07:49 0 收藏

UnserializeOne

_set() 用于将数据写入不可访问的属性给一个未定义的属性赋值时，此方法会被触发，传递的参数是被设置的属性名和值 // 不存在赋值。__set_state()，调用var_export()导出类时，此静态方法会被调用。__isset()，当对不可访问属性调用isset()或empty()时调用。

overfit同步小助手 2023-04-05 19:08:05 0 收藏

HTB打靶日记：Agile

overfit同步小助手 2023-04-05 18:08:15 0 收藏

SQL注入_insert&delete&update&selete

overfit同步小助手 2023-04-05 18:07:58 0 收藏

JavaWeb代码审计实战之若依管理系统，细节满满的万字文章，非常值得好好进阶学习的一个系统哦！！！

今天为大家带来的是一篇实战代码审计若依管理系统的一篇文章，若依管理系统也是现在比较常用的一个系统了。非常有必要好好学习研究一下。

overfit同步小助手 2023-04-05 16:08:45 0 收藏

MaxSite CMS 代码问题漏洞(CVE-2022-25411)

Maxsite CMS存在文件上传漏洞，攻击者可利用该漏洞通过精心制作的PHP文件执行任意代码。

overfit同步小助手 2023-04-05 16:08:15 0 收藏

网络安全实验室-基本关1-12

overfit同步小助手 2023-04-05 15:08:04 0 收藏

Javaweb安全——Fastjson反序列化利用

JSON.parseObject 的底层调用的还是 JSON.parse 方法，只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项，序列化出来的结果会在开头加一个 @type 字段，值为进行序列化的类名。

overfit同步小助手 2023-04-05 15:07:57 0 收藏

【安全学习】记一次内网环境渗透

通过上述过程，我们对比如GPP，约束委派，SQLServer提权有了新的认知或者理解，网络安全的学习离不开实际操作，想要搞明白漏洞更是要实际去复现学习。

overfit同步小助手 2023-04-05 14:07:57 0 收藏

关于前端安全性那些事

1、XSS攻击 2、 Iframe 3、跨站请求伪造（Cross-site request forgery） 4、ClickJacking（点击劫持）5、HTTPS重定向问题 6、CDN劫持

overfit同步小助手 2023-04-05 14:07:41 0 收藏

网络安全实验——安全通信软件safechat的设计

SAFECHAT

overfit同步小助手 2023-04-05 13:08:24 0 收藏

sqli-labs靶场安装

PhpStudy国内12年老牌公益软件，集安全，高效，功能与一体，已获得全球用户认可安装，运维也高效。支持一键LAMP,LNMP,集群,监控,网站,FTP,数据库,JAVA等100多项服务器管理功能。Sqlilabs是一个学习sql注入的平台，GET和POST场景包括了许多基本的实验内容，例如：基于

overfit同步小助手 2023-04-05 13:08:18 0 收藏

[计算机网络安全实验] TCP协议漏洞利用

用户机IP: 172.17.0.2目标机(服务器)IP: 172.17.0.3攻击机IP: 172.17.0.1。

overfit同步小助手 2023-04-05 11:08:29 0 收藏

无数字字母rce总结（取反、异或、自增、临时文件）

无数字字母rce的知识点、poc、exp（取反、异或、自增、临时文件）

overfit同步小助手 2023-04-05 10:08:35 0 收藏