xiaowu5

什么是IDOR？IDOR代表不安全直接对象引用，是一种访问控制漏洞。当Web服务器接收用户提供的输入以检索对象（文件、数据、文档）、对输入数据过于信任并且未在服务器端进行验证以确认输入数据时，可能会发生此类漏洞。请求的对象属于请求它的用户。IDOR示例进入网站，看到一个表单，表单里有几个url,找到有参数那个，进入将参数1234改为1000，爆出flag...

介绍从本质上讲，BurpSuite是一个基于Java的框架，旨在作为进行Web应用程序渗透测试的综合解决方案。它已成为对Web和移动应用程序进行实际安全评估的行业标准工具，包括那些依赖于应用程序编程接口(API)的应用程序。简而言之，BurpSuite捕获并支持对浏览器和Web服务器之间的所有HTTP /HTTPS流量进行...

参考：like'ro%'：#判断ro或ro...是否成立 regexp'^xiaodi[a-z]'：#匹配xiaodi及xiaodi...等 if(条件,5,0)：#条件成立返回5反之返回0 sleep(5)：#SQL语句延时执行5秒mid(a,b,c)...

什么是SSRFSSRF代表服务器端请求伪造。该漏洞允许恶意用户导致网络服务器向攻击者选择的资源发出额外的或经过编辑的HTTP请求。SSRF的类型SSRF漏洞有两种类型：第一个是常规SSRF，其中数据返回到攻击者的屏幕。第二个是盲目SSRF漏洞，即发生SSRF，但不会将任何信息返回到攻击者的屏幕。有什么影响成功的SSRF攻击可能会导致以下情况：...

什么是文件包含？在某些场景中，Web应用程序被编写为通过参数请求访问给定系统上的文件，包括图像、静态文本等。参数是附加到URL的查询参数字符串，可用于检索数据或根据用户输入执行操作。 下图详细说明了URL的基本部分。 例如，参数用于Google搜索，其中 GET 请求将用户输入传递到搜索引擎。 ...

SQL（结构化查询语言）注入，通常称为SQLi，是对Web应用程序数据库服务器的攻击，导致执行恶意查询。当Web应用程序使用未经正确验证的用户输入与数据库进行通信时，攻击者有可能窃取、删除或更改私人数据和客户数据，并攻击Web应用程序身份验证方法以获取私有数据。或客户区。这就是为什么SQLi是最古老的Web应用程序漏洞之一，而且也可能是最具...