Bytectf 2019 Ezcms&&boring_code 复现

目前只找到这三道题的环境,babyblog对我来说有点困难了,先将就看这两道吧

业务安全漏洞总结

这是自己之前读了《Web攻防之业务安全实战指南》后,做了一个简单的总结

XML External Entity Attacks (XXE)

XXE(XML External Entity Injection)也叫做XML外部实体注入,漏洞成因是XML的特性导致了引用了不安全的外部实体,导致可以执行恶意代码或引入恶意文件。

Server Side Request Forgery(SSRF)

漏洞简介

从SUCTF 2019 CheckIn 浅谈.user.ini的利用

文章首发于先知社区https://xz.aliyun.com/t/6091前言在前段时间SUCTF 2019的比赛中做了一道名为CheckIn的文件上传题,学到了一种新的利用姿势——.user.ini。原题的链接已经失效了,但SU的师傅们把题目源...

Cross-site request forgery(CSRF)

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)...