浅析WAF下的SQLi防御绕过

0x00

几个月前在一个SRC的一个夺旗赛看了一下,题目里遇到了他们用自己的云WAF保护起来的靶机,不禁心里为出题人鼓掌。直接对靶机上使用储备策略不可取,不过作为探索研究决定继续往下看了看,当时……

Read more

从入门到精通: SSRF(1)

0x00

很早就看到别人对这个漏洞的研究,但是完全没有预想到它能有这么大的能量。最初觉得如果对请求资源的域如果限制不严格,确实可能导致内网信息被探测,最初对危害认识仅限于信息泄露而已。

后来发现边……

Read more

一种LFI利用可能性探索

0x00

虽然是一个比较偏,使用中也比较少产生歧义的问题,但是和师弟讨论和自己做对比分析的时候纠正了一个认识上的错误(超全局变量的作用域是什么)。有时候思考问题的方法价值会大于问题本身吧。……

Read more