RainClv

进行手头测试之前，最重要的一步就是信息收集，所谓知己知彼，百战不殆。我们越是了解测试目标，在进行测试过程中的工作就会越容易。但是我们在收集信息的时候需要收集哪些信息呢？哪些信...

RainClv

快捷支付原理 商户网站接入支付结果有两种方式：一种是通过浏览器进行跳转通知，一种是服务器端异步通知。 浏览器跳转 基于用户访问的浏览器，如果用户在银行页面支付成功后，直接关闭...

RainClv

常见服务器系统： 什么是服务器，简单来说就是一台二十四小时不关机用来提供服务的电脑。服务器有三种:Linux、windows、macosLinux ：安卓 、Centos 、...

RainClv

什么是越权漏洞？ 越权漏洞是一种很常见的逻辑安全漏洞，是服务器端对客户提出的数据操作请求过分信任，而忽略了对该用户操作权限的判定，导致修改相关参数就可以拥有了其他帐号的增删改...

RainClv

密码找回的方式： 1. 第一种就是找回密码，往邮箱发送明文密码或者验证码(手机短信验证就是往你手机号码发验证码)，通过这样的方式来判断是否是本人。 2. 第二种是发送一个重置...

RainClv

验证码绕过漏洞 什么是验证码绕过漏洞？ 比如说，开发人员在考虑用户登录的时候，为了安全添加了验证码验证，但是在代码层面他只做了 if（存在验证码）{ 验证登录 } 存在验证码...

RainClv

概念 单字节字符集： 所有的字符都使用一个字节来表示，比如 ASCII 编码。 多字节字符集： 在多字节字符集中，一部分字节用多个字节来表示，另一部分（可能没有）用单个字节来...

RainClv

但是post注入与get不太一样的是post注入一般页面不会有回显，最多的就是是在登陆成功后提示一个登录成功，我们根本无法直观的看到我们想要的数据，这时候我们就可以尝试利用报...

RainClv

什么是CSRF? CSRF（Cross-site request forgery）跨站请求伪造：也被称为“One Click Attack”或者Session Riding，...

RainClv

什么是XXE？ XXE = XML External Entity 即外部实体，从安全角度理解成XML External Entity attack XML外部实体注入攻击，...