CSRF 漏洞原理、检测方法与防御实践 CSRF 漏洞原理、检测方法与防御实践 概览 CSRF(跨站请求伪造) 的检测、常见绕过手法与防御实践。 一、CSRF核心概念 CSRF:攻击者在受害者已登录的情况下,诱导其浏览器向目标站点发送已认证的请求,从而实现未授权操作。常见影响包括修改账户信息、发起转账、改变密码、发帖等。 攻击前提通常要求受害者已登录目标站点并保持有效会话;防护 2026-01-08 Web安全 22 Administrator
CTF 文件上传漏洞总结:绕过思路与 Payload 构造(ctfshow) CTF 文件上传漏洞总结:绕过思路与 Payload 构造(ctfshow) 概要 本文总结了我做ctfshow有关文件上传的漏洞题目,以及文件上传构造数据包的pyload ctf.show — web151 ~ web160 条目整理(要点摘录) 下面每一项对应你给的编号(web151…web160),按“题目要点 / 绕过手法 / 常见 payload”格式列出,方便快速 2026-01-08 Web安全 99 Administrator
文件与目录安全漏洞分析:下载、删除、遍历与穿越 文件与目录安全漏洞分析:下载、删除、遍历与穿越 文件安全:下载与删除 - 黑白盒分析 1. 文件下载 = 读取 常见下载 URL:http://www.xiaodi8.com/upload/123.pdf 可能存在安全 URL:http://www.xiaodi8.com/xx. 2026-01-08 Web安全 21 Administrator
文件包含漏洞深度解析:从原理到实战攻防 文件包含漏洞深度解析:从原理到实战攻防 文件包含-原理、分类、利用与修复 1. 文件包含原理 文件包含是程序开发中的一种常见技术,通常用于复用代码。开发人员会将可复用的函数或代码模块写入一个单独的文件,其他文件可以直接调用该文件,而不必重复编写。 常见的 PHP 2026-01-08 Web安全 13 Administrator
文件上传安全架构解析:存储、解析与权限控制方案 文件上传安全架构解析:存储、解析与权限控制方案 概览 本文对文件上传后的解析与存储方案做整理,聚焦三大主题: 文件解析与执行权限(如何避免上传文件被执行) 数据的编码→传输→解码还原流程(攻击面与防护点) 存储方案比较:分站存储 与 OSS(对象存储),含访问控制与常见绕过风险 一、文件 — 解析方案: 2026-01-08 Web安全 18 Administrator
文件上传漏洞全面解析:从基础绕过到高级利用技巧 文件上传漏洞全面解析:从基础绕过到高级利用技巧 概览 本文为文件上传漏洞的复现与检测笔记,包含前后端验证类型、常见绕过技巧、以及一些攻击构造示例,便于实战练习(如 Docker labs)。 适用于 PHP 原生上传场景(但很多点可迁移到其它语言/框架)。 知识点摘要 1、前端 JS 校验 2026-01-08 Web安全 29 Administrator