路径遍历与文件包含:目录穿越的攻击

路径遍历与文件包含:目录穿越的攻击 网络安全系列第9篇 | Web安全基础 目录 什么是路径遍历 文件包含漏洞 攻击原理与利用 真实案例 防御方案 总结 什么是路径遍历 路径遍历(Path Traversal),也叫目录穿越(Directory Traversal),是一种利用应用程序对文件路径处理
作者:Yolo
分类: 网络安全

HTTP参数污染:重复参数的解析差异

HTTP参数污染:重复参数的解析差异 什么是HTTP参数污染 HTTP参数污染(HPP, HTTP Parameter Pollution)是一种利用Web应用对同名参数处理逻辑不一致的攻击技术。当客户端在HTTP请求中提交多个同名参数时,不同的服务器组件(如Web服务器、WAF、应用框架、后端服务
作者:Yolo
分类: 网络安全

路径遍历与文件包含:目录穿越的攻击

路径遍历与文件包含:目录穿越的攻击 网络安全系列第9篇 | Web安全基础 目录 什么是路径遍历 文件包含漏洞 攻击原理与利用 真实案例 防御方案 总结 什么是路径遍历 路径遍历(Path Traversal),也叫目录穿越(Directory Traversal),是一种利用应用程序对文件路径处理
作者:Yolo
分类: 网络安全

XXE外部实体注入:XML解析的隐患

XXE外部实体注入:XML解析的隐患 XML 作为一种通用的数据交换格式,被广泛应用于 Web 服务、配置文件、文档格式(如 Office Open XML、SVG)等场景。然而,XML 解析器对外部实体的默认支持,却为攻击者打开了一扇危险的大门——XML External Entity(XXE)注
作者:Yolo
分类: 网络安全

反序列化漏洞:数据对象的致命陷阱

反序列化漏洞:数据对象的致命陷阱 在现代软件开发中,序列化是将对象转换为可存储或传输格式(如 JSON、XML、二进制)的过程,反序列化则是将这些数据还原为对象。这个看似简单的操作,却隐藏着巨大的安全风险——反序列化漏洞。 一、什么是反序列化漏洞 反序列化漏洞发生在应用程序将不可信数据反序列化为对象
作者:Yolo
分类: 网络安全

命令注入与代码执行:危险的动态执行

命令注入与代码执行:危险的动态执行 命令注入(Command Injection)和远程代码执行(RCE)是 Web 安全中最危险的漏洞之一。攻击者通过注入恶意命令或代码,可以直接控制服务器、窃取数据、植入后门,甚至以此为跳板渗透到整个内网。这篇文章深入讲解这两种漏洞的原理、利用方式和防御策略。 一
作者:Yolo
分类: 网络安全

CSRF跨站请求伪造:身份冒用的艺术

CSRF跨站请求伪造:身份冒用的艺术 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种利用用户已认证身份执行非预期操作的攻击。与 XSS 不同,CSRF 不窃取用户数据,而是冒充用户发起请求。它被称为"睡梦中的攻击"——用户在不知情的情况下完成了转账、改密等危险操
作者:Yolo
分类: 网络安全

文件上传漏洞:从任意文件到GetShell

文件上传漏洞(File Upload Vulnerability)是 Web 安全中危害最大的漏洞之一。攻击者上传恶意文件到服务器,就能执行任意代码、控制服务器,甚至作为跳板渗透到内网。这篇文章从原理、攻击手法、绕过技巧到防御方案,系统地讲解这个经典漏洞。 一、什么是文件上传漏洞 文件上传漏洞的核心
作者:Yolo
分类: 网络安全

SSRF服务器端请求伪造:内网渗透的跳板

SSRF服务器端请求伪造:内网渗透的跳板 什么是SSRF SSRF(Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求,由服务器发起请求的安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 漏洞原理 很多Web应用提供了从其他服务器获取
作者:Yolo
分类: 网络安全

XSS跨站脚本攻击:存储型、反射型与DOM型

XSS跨站脚本攻击:存储型、反射型与DOM型 上一篇讲了 SQL 注入,今天聊 Web 安全的另一个经典漏洞——XSS(Cross-Site Scripting,跨站脚本攻击)。虽然名字里有 SQL,但 XSS 跟数据库没直接关系,它的核心是利用网站对用户输入的盲目信任,把恶意脚本注入到页面里执行。
作者:Yolo
分类: 网络安全
共 31 篇文章