暗狐

详解：Java反序列化即，由字节流还原成对象。ObjectInputStream类的readObject()方法用于反序列化。因此要利用Java反序列化漏洞，需要在进行反序列化的地方传入攻击者的序列化

SSRF漏洞(Server-Side Request Forgery,服务器端请求伪造) 原理 由攻击者构造请求，由服务端发起请求的安全漏洞 一般来说，SSRF攻击的目标是外网无法访问的内部系统(由于

### 任意文件下载漏洞 #### 原理： 利用存在读文件的函数，读取文件的路径用户可控且未校验或校验不严；输出了文件内容 #### 细节点： 任意文件下载和任意文件读取有着相似的地方，都是需要路径

文件上传漏洞原理 原理 简：没有对客户端上的文件做严格的验证和过滤 详：用户可越过其本身权限向服务器上传可执行的动态脚本文件(WebShell) 文件上传漏洞绕过方法 前端JS绕过 黑白名单绕过 文件

条件竞争漏洞 服务器端漏洞，由于服务器端在处理不同用户的请求时是并发进行的，当并发处理不当或相关操作逻辑顺序设计不合理便会产生条件竞争漏洞 如何利用条件竞争漏洞 背景知识 web程序有上传文件、头像和

文件上传漏洞 原理 简：没有对客户端上的文件做严格的验证和过滤 详：用户可越过其本身权限向服务器上传可执行的动态脚本文件(WebShell) 文件上传漏洞绕过方法 前端JS绕过 黑白名单绕过 文件类型

网络安全的三种渗透测试类型 黑盒测试 外部测试 目标网络的内部结构和所使用的程序完全不了解，从网络外部对其网络安全进行评估 白盒测试 内部测试 清楚知道被测试环境的内部结构和技术细节，目标是明确定义好