xiaowu5

什么是IDOR？IDOR代表不安全直接对象引用，是一种访问控制漏洞。当Web服务器接收用户提供的输入以检索对象（文件、数据、文档）、对输入数据过于信任并且未在服务器端进行验证以确认输入数据时，可能会发生此类漏洞。请求的对象属于请求它的用户。IDOR示例进入网站，看到一个表单，表单里有几个url,找到有参数那个，进入将参数1234改为1000，爆出flag...

介绍从本质上讲，BurpSuite是一个基于Java的框架，旨在作为进行Web应用程序渗透测试的综合解决方案。它已成为对Web和移动应用程序进行实际安全评估的行业标准工具，包括那些依赖于应用程序编程接口(API)的应用程序。简而言之，BurpSuite捕获并支持对浏览器和Web服务器之间的所有HTTP /HTTPS流量进行...

参考：like'ro%'：#判断ro或ro...是否成立 regexp'^xiaodi[a-z]'：#匹配xiaodi及xiaodi...等 if(条件,5,0)：#条件成立返回5反之返回0 sleep(5)：#SQL语句延时执行5秒mid(a,b,c)...

什么是SSRFSSRF代表服务器端请求伪造。该漏洞允许恶意用户导致网络服务器向攻击者选择的资源发出额外的或经过编辑的HTTP请求。SSRF的类型SSRF漏洞有两种类型：第一个是常规SSRF，其中数据返回到攻击者的屏幕。第二个是盲目SSRF漏洞，即发生SSRF，但不会将任何信息返回到攻击者的屏幕。有什么影响成功的SSRF攻击可能会导致以下情况：...

183//拼接sql语句查找指定ID用户  $sql = "select count(pass) from ".$_POST['tableName'].";";//对传入的参数进行了过滤  function...

179//对传入的参数进行了过滤  function waf($str){   //代码过于简单，不宜展示  }1'%0aand%0a1=1%23成功1'%0aand%0a1=2%23失败和上一题一样加上过滤了/**/直接用上一题poc即可上...