- 博客(6)
- 收藏
- 关注
RSS订阅原创 JNDI注入基础
JNDI (Java Naming and Directory Interface) 是 Java 提供的一种标准 API,用于访问各种命名和目录服务,例如 LDAP(轻量级目录访问协议)和 DNS(域名系统)。它提供了一种统一的方式来查找和访问命名和目录服务中的对象。攻击利用jndi-inject项目和marshalsec。JNDI:rmi、ldap 可以远程实现Java代码。简单来说JNDI就是API接口。
2023-11-13 19:52:01
69
原创 安全开发-PHP应用&文件管理模块&显示上传&黑白名单类型过滤&访问控制
1、黑名单过滤,不允许上传的后缀(php,asp....)2.白名单过滤,允许上传的后缀(jpg,png...)当然上述三种方法都能绕过,后续介绍绕过机制。功能:显示、上传、下载、删除、编辑、包含等。
2023-10-25 22:19:57
220
1
原创 安全开发-PHP应用&后台模块&Session&Cookie&Token&身份验证&唯一性
token:判断数据包的唯一性,随机产生,防止暴力攻击;随机产生的token与session[token]比较,一致才能登录成功,在网站上登录session[token]会自动刷新。而抓包后暴力破解用户密码,session[token]不会改变,token一直改变不正确登录不成功。与cookie代码类似,session文件存储位置:\phpstudy\phpstudy_pro\Extensions\tmp\tmp。session:存储在服务端,更安全;
2023-10-25 17:49:47
287
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人