2021年 第2周 微信公众号精选安全技术文章总览

洞见网安 2021-1-11

0x1 挖洞思路 | 文件上传突破限制及WAF绕过技巧（附赠免费实战靶场）

天策安全技术联盟 2021-01-17T20:55:53

本文详细介绍了网络安全中的文件上传突破限制及WAF绕过技巧。文章首先介绍了文件上传漏洞的基本概念、原理和危害，解释了文件上传漏洞是由于程序没有严格校验上传文件的后缀和文件类型而导致的。接着，文章列举了多种绕过文件上传限制的方法，包括本地JS绕过、MIME验证绕过、黑名单绕过、大小写绕过、空格绕过、点绕过、双写绕过和%00截断等。此外，文章还介绍了如何利用图片木马和竞争条件来绕过上传限制。在WAF突破部分，文章讨论了多种绕过WAF检测的方法，如换行绕过、多个等号绕过、增大文件大小、去掉或替换引号、增加filename干扰拦截、混淆waf匹配字段、双文件绕过和容器与WAF对Boundary要求规则不一致等。最后，文章提供了一个配套的实战靶场链接，供读者练习。

文件上传漏洞 WAF绕过 漏洞利用 网络安全实战 网络安全教育

0x2 挖洞思路 | XSS跨站脚本攻击漏洞挖掘技巧总结

天策安全技术联盟 2021-01-16T22:04:56

本文详细介绍了跨站脚本攻击（XSS）的相关知识，包括XSS的原理、分类、攻击载荷、挖掘方法、攻击过程、危害以及过滤和绕过XSS的方法。文章首先定义了XSS攻击，即攻击者向Web页面中插入恶意Script代码，在用户浏览页面时执行，达到攻击目的。接着，文章详细阐述了XSS的三大分类：存储型XSS、反射型XSS和DOM型XSS，并分别解释了每种类型的特点和危害。文章还列举了多种XSS攻击载荷，如使用