pikachu-php反序列化/xee漏洞/url重定向/ssrf - 走看看

zoukankan html css js c++ java

pikachu-php反序列化/xee漏洞/url重定向/ssrf
php反序列化

序列化serialize()就是把一个对象变成可以传输的字符串,比如下面是一个对象:

反序列化unserialize()就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。

输入代码
O:1:"S":1:{s:4:"test";s:29:"<script>alert('aaa')</script>";}

xee漏洞

XXE，"xml external entity injection"，即"xml外部实体注入漏洞"

提交一个正常的数据

<?xml version = "1.0"?> <!DOCTYPE note [ <!ENTITY hacker "ma"> ]> <name>&hacker;</name>

提交恶意代码

<?xml version = "1.0"?> <!DOCTYPE ANY [ <!ENTITY f SYSTEM "file:///C://pig.txt"> ]> <x>&f;</x>

url重定向

将url换成其他的地址

ssrf（curl）

又是url问题，直接改地址

file_get_content

与上一个差不多直接更改路径就行
查看全文

相关阅读:
fluentValidation集成到autofac
javascript中的this
Android环境配置Sencha Touch
PHP上传图片如何防止图片木马？
mysql 修改字段长度
 mysql 截取字符
 php 获取文件后缀名
 mysql 导入导出数据库、数据表
 Nginx下修改php.ini后重新加载配置文件命令
 ubuntu 12.04 LTS（64位）安装apache2

原文地址：https://www.cnblogs.com/zhao-yang/p/12605306.html

Copyright © 2011-2022 走看看