思维导图备注

Web安全学习笔记
首页 白天 夜间 BookChat 小程序 小程序 阅读
  • 书签 我的书签
  • 添加书签 添加书签 移除书签 移除书签

5.2.4. 框架

 来源:LyleMi 浏览 724 扫码 分享 2020-01-25 11:41:04
  • 5.2.4. 框架
    • 5.2.4.1. Django
      • 5.2.4.1.1. 历史漏洞
      • 5.2.4.1.2. 配置相关
    • 5.2.4.2. Flask

    5.2.4. 框架

    5.2.4.1. Django

    5.2.4.1.1. 历史漏洞

    • CVE-2016-7401 CSRF Bypass
    • CVE-2017-7233/7234 Open redirect vulnerability
    • CVE-2017-12794 debug page XSS

    5.2.4.1.2. 配置相关

    • Nginx 在为 Django 做反向代理时,静态文件目录配置错误会导致源码泄露。访问 /static.. 会 301 重定向到 /static../

    5.2.4.2. Flask

    Flask默认使用客户端session,使得session可以被伪造

    当前内容版权归 LyleMi 或其关联方所有,如需对内容或内容相关联开源项目进行关注与资助,请访问 LyleMi .
    上一篇:
    下一篇:
    • 书签
    • 添加书签 移除书签
    • 0. 序言
    • 1. 序章
      • 1.1. Web技术演化
      • 1.2. Web攻防技术演化
      • 1.3. 安全观
    • 2. 计算机网络与协议
      • 2.1. 网络基础
      • 2.2. UDP协议
      • 2.3. TCP协议
      • 2.4. DHCP协议
      • 2.5. 路由算法
      • 2.6. 域名系统
      • 2.7. HTTP标准
      • 2.8. HTTPS
      • 2.9. SSL/TLS
      • 2.10. IPsec
    • 3. 信息收集
      • 3.1. 域名信息
      • 3.2. 端口信息
      • 3.3. 站点信息
      • 3.4. 搜索引擎利用
      • 3.5. 社会工程学
      • 3.6. 参考链接
    • 4. 常见漏洞攻防
      • 4.1. SQL注入
        • 4.1.1. 注入分类
        • 4.1.2. 注入检测
        • 4.1.3. 权限提升
        • 4.1.4. 数据库检测
        • 4.1.5. 绕过技巧
        • 4.1.6. SQL注入小技巧
        • 4.1.7. CheatSheet
        • 4.1.8. 参考文章
      • 4.2. XSS
        • 4.2.1. 分类
        • 4.2.2. 危害
        • 4.2.3. 同源策略
        • 4.2.4. CSP
        • 4.2.5. XSS数据源
        • 4.2.6. Sink
        • 4.2.7. XSS保护
        • 4.2.8. WAF Bypass
        • 4.2.9. 技巧
        • 4.2.10. Payload
        • 4.2.11. 持久化
        • 4.2.12. 参考链接
      • 4.3. CSRF
      • 4.4. SSRF
      • 4.5. 命令注入
      • 4.6. 目录穿越
      • 4.7. 文件读取
      • 4.8. 文件上传
      • 4.9. 文件包含
      • 4.10. XXE
      • 4.11. 模版注入
      • 4.12. Xpath注入
      • 4.13. 逻辑漏洞 / 业务漏洞
      • 4.14. 配置安全
      • 4.15. 中间件
        • 4.15.1. IIS
        • 4.15.2. Apache
        • 4.15.3. Nginx
      • 4.16. Web Cache欺骗攻击
      • 4.17. HTTP 请求走私
    • 5. 语言与框架
      • 5.1. PHP
        • 5.1.1. 后门
        • 5.1.2. 反序列化
        • 5.1.3. Disable Functions
        • 5.1.4. Open Basedir
        • 5.1.5. phpinfo相关漏洞
        • 5.1.6. PHP流
        • 5.1.7. htaccess injection payload
        • 5.1.8. WebShell
        • 5.1.9. Phar
        • 5.1.10. 其它
        • 5.1.11. 参考链接
      • 5.2. Python
        • 5.2.1. 格式化字符串
        • 5.2.2. 反序列化
        • 5.2.3. 沙箱
        • 5.2.4. 框架
        • 5.2.5. 危险函数 / 模块列表
        • 5.2.6. 参考链接
      • 5.3. Java
        • 5.3.1. 基本概念
        • 5.3.2. 框架
        • 5.3.3. 容器
        • 5.3.4. 沙箱
        • 5.3.5. 反序列化
        • 5.3.6. RMI
        • 5.3.7. JNDI
        • 5.3.8. 参考链接
      • 5.4. JavaScript
        • 5.4.1. ECMAScript
        • 5.4.2. 引擎
        • 5.4.3. WebAssembly
        • 5.4.4. 作用域与闭包
        • 5.4.5. 严格模式
        • 5.4.6. 异步机制
        • 5.4.7. 原型链
        • 5.4.8. 沙箱逃逸
        • 5.4.9. 反序列化
        • 5.4.10. 其他
        • 5.4.11. 参考链接
      • 5.5. Golang
      • 5.6. Ruby
      • 5.7. ASP
    • 6. 内网渗透
      • 6.1. 信息收集 - Windows
      • 6.2. 持久化 - Windows
      • 6.3. 域渗透
      • 6.4. 信息收集 - Linux
      • 6.5. 持久化 - Linux
      • 6.6. 痕迹清理
      • 6.7. 综合技巧
      • 6.8. 参考链接
    • 7. 防御技术
      • 7.1. 团队建设
      • 7.2. 安全开发
      • 7.3. 威胁情报
      • 7.4. ​​ATT&CK
      • 7.5. 风险控制
      • 7.6. 加固检查
      • 7.7. 防御框架
      • 7.8. 蜜罐技术
      • 7.9. 入侵检测
      • 7.10. 应急响应
      • 7.11. 溯源分析
    • 8. 认证机制
      • 8.1. SSO
      • 8.2. OAuth
      • 8.3. JWT
      • 8.4. Kerberos
      • 8.5. SAML
    • 9. 工具与资源
      • 9.1. 推荐资源
      • 9.2. 相关论文
      • 9.3. 信息收集
      • 9.4. 社会工程学
      • 9.5. 模糊测试
      • 9.6. 漏洞利用
      • 9.7. 持久化
      • 9.8. 防御
      • 9.9. 运维
      • 9.10. 其他
    • 10. 手册速查
      • 10.1. 爆破工具
      • 10.2. 下载工具
      • 10.3. 流量相关
      • 10.4. 嗅探工具
      • 10.5. SQLMap使用
    • 11. 其他
      • 11.1. 代码审计
      • 11.2. WAF
      • 11.3. Unicode
      • 11.4. 拒绝服务攻击
      • 11.5. Docker
    暂无相关搜索结果!

      本文档使用 BookStack 构建

      展开/收起文章目录

      分享,让知识传承更久远

      文章二维码

      手机扫一扫,轻松掌上读

      文档下载

      • 普通下载
      • 下载码下载(免登录无限下载)
      你与大神的距离,只差一个APP
      APP下载
      请下载您需要的格式的文档,随时随地,享受汲取知识的乐趣!
      PDF文档 EPUB文档 MOBI文档
      温馨提示 每天每在网站阅读学习一分钟时长可下载一本电子书,每天连续签到可增加阅读时长
      下载码方式下载:免费、免登录、无限制。 免费获取下载码

      微信小程序阅读

      BookChat 微信小程序阅读
      您与他人的薪资差距,只差一个随时随地学习的小程序

      书签列表

        阅读记录

        阅读进度: 0.00% ( 0/0 ) 重置阅读进度