2025年06月04日
对于什么是网页,很多人,一下子是丈二和尚摸不着头脑。网页是什么呢?效果图?代码?编程?我说,网页是它们的综合体。其中的任何一个,都不能说是完整的。要想学会网页,先了解一下最基本的网页常识吧。
学生问:网页和网站的区别是什么?答:网页设计更侧重于web前端,主要包括网页美工、div css、js等,通俗的说,就是网站前台设计。网站设计不仅包含网页设计,同时还包括网站后台。一句话就是,网页设计侧重于前端为主,网站设计侧重于后台。一个完整的网站=前台+后台网页跟网站的另一个区别是:网页指的是一个页面,网站是多个网页的集合。一个网页的也可以是一个网站,例如专题网站,就是一个网页。
2025年06月04日
1、Pass-01-js检查
查看代码后端没有对上传文件进行过滤,且上传php木马代替图片:没有后端交互,只有前端;
修改前端代码;先点击浏览选中php木马文件,将文件上传位置代码内容中的onsubmit中的内容删除(删除return checkFile()),然后点击上传文件就显示木马文件上传成功;
2025年06月04日
在 Web 项目中,文件上传是一项基础功能,但也是最容易被攻击者利用的入口,尤其是上传“伪装图片”(如
2025年06月04日
今天开始,我们就要开始学习具体的漏洞了,但是希望大家学完后,不要轻易"入侵"网站哦,当时测试环境下除外。
今天的课程是关于“文件上传漏洞”,据安界网的老师介绍,文件上传漏洞仅次于命令执行危害,也是比较大的漏洞。
文件上传漏洞一般会出现在有上传功能的网站中。
如果一个网站对用户上传的文件没有过滤控制,或者上传功能处存在缺陷,攻击者就可以利用这个漏洞来上传木马,也就是昨天名词介绍里面的Webshell。
2025年06月04日
1. 文件分析
a) 文件日期与异常文件检测
文件时间检查:
Windows:通过文件属性查看创建/修改时间,但需注意攻击者可能伪造时间(如使用工具修改文件时间戳)。
Linux:使用 ls -l 或 stat 命令查看文件时间戳,结合 find /path -mtime -1 查找最近修改的文件。
2025年06月04日
昨天安仔跟大家分享了文件上传漏洞中的前端JS绕过,今天继续分享文件名过滤绕过。
JS验证代码通过黑名单的方式来判断允许上传文件的类型,这个时候攻击者就可以通过上传黑名单之外的文件类型来绕过验证上传文件。
一般来说的绕过姿势(方法)有上传后缀为Php、php5等文件来绕过。
2025年06月04日
来源 成戈科技说
悄悄告诉你何为“暗网”,暗网的用途是什么?到底多可怕?
暗网的英文是“deepnet或deepweb”,也就是深网的意思,我们都知道,南北极的冰川看起来非常雄伟,但是你物理稍微懂一点你就会知道,我们看到的只是冰山的10%,还有90%在水面以下,很容易看出来,而暗网就是犹如这水下90%的互联网内容,以平常的搜索引擎是无法检索出来暗网内部内容的。今天小编就给大家聊一下关于这个听起来就带有“罪恶感”的暗网,超乎你想象的另外一个互联网世界。
2025年06月04日
修改后台地址往往是很多网站新手们容易忽略的一个问题,但其实在一些大型网站中,网站后台地址如果能够被普通网民找到的话,严格意义上来说应该可以被称之为一个漏洞。今天要说的是个人博客程序Z-Blog PHP版怎样修改后台地址,这里以Z-Blog PHP 1.4 Deeplue为例。
首先我们要知道Z-Blog PHP版的默认后台地址是http://域名/zb_system/login.php,通过这个地址,我们可以在Z-Blog PHP版的源文件中找到对应目录中的后台登陆文件,也就是在zb_system文件夹中的login.php文件,除了login.php这个后台登陆文件外,我们还要知道在zb_system这个文件夹中的文件名为admin的子文件夹是Z-Blog的后台管理目录(慎重!!!),还有cmd.php这个文件也是需要我们修改的。