0x00 前言 什么是XXE 简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,…
分类: 学习笔记
PHP反序列化学习笔记
0x00 前言 php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过程中对对象进…
服务器端请求伪造笔记
0x00 前言 SSRF,Server-Side Request Forgery,服务端请求伪造,是一种由攻击…
Flask SSTI/沙箱逃逸的一些总结
0x00 SSTI原理 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制…
跨站请求伪造学习笔记
0x00 前言 跨站请求伪造(英语:Cross-site request forgery),也被称为one-c…
命令执行漏洞学习笔记
0x01 PHP命令执行 命令注入的条件 是否调用系统命令 函数或函数的参数是否可控 是否拼接注入命令
文件上传漏洞学习笔记
## 0x00 前言 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可…