Browse Category

Web安全

Web安全

DVWA 黑客攻防演练(五)文件上传漏洞 File Upload

说起文件上传漏洞 ,可谓是印象深刻。有次公司的网站突然访问不到了,同事去服务器看了一下。所有 webroot 文件夹下的所有文件都被重命名成其他文件,比如 jsp 文件变成 jsp.s ,以致于路径映射不到 jsp 文件,同事怀疑是攻击者上传了个 webshell 文件然后进行批量重命名了。

WordPress权限提升漏洞分析

WordPress博客文章创建过程中存在一个逻辑缺陷,攻击者可以访问只有管理员能够访问的功能,这将导致WordPress core中存在存储型XSS(Stored XSS)和对象注入(Object Injection),也导致WordPress最受欢迎的插件Contact Form 7和Jetpack中存在更为严重的漏洞。