0%

HTTP 请求

  • GET 用于获取数据,无请求body

  • POST 用于添加数据

    其content-type不同,body中的格式也不同

  • PUT 用于添加或更新数据

    Request:

    1
    2
    3
    4
    5
    6
    PUT /new.html HTTP/1.1
    Host: example.com
    Content-type: text/html
    Content-length: 16

    <p>New File</p>

    Response:

    若资源不存在需要创建,那么服务器需响应201表明内容已创建:

    1
    2
    HTTP/1.1 201 Created
    Content-Location: /new.html

    若资源存在则返回200204:

    1
    2
    HTTP/1.1 204 No Content
    Content-Location: /existing.html
  • PATCH 用于更新数据

    Request:

    1
    2
    3
    4
    5
    6
    7
    PATCH /file.html HTTP/1.1 
    Host: www.example.com
    Content-Type: application/example
    If-Match: "e0023aa4e"
    Content-Length: 100

    {"op":"move", "from":"/a/b/c", "to":"/a/b/d"}

    Response:

    正确回应应该为204因为200会带返回body

    1
    2
    3
    HTTP/1.1 204 No Content
    Content-Location: /file.txt
    ETag: "e0023aa4f"
  • DELETE 用于删除数据

    Request:

    1
    DELETE /file.html HTTP/1.1

    Response:

    202已经接受但操作未执行完,204或者200(需返回body)

    1
    2
    3
    4
    5
    6
    7
    8
    HTTP/1.1 200 OK 
    Date: Wed, 21 Oct 2015 07:28:00 GMT

    <html>
    <body>
    <h1>File deleted.</h1>
    </body>
    </html>
  • HEAD 用于获取GET请求的响应头,无请求body

  • OPTIONS 用于描述通信选项,如CORS使用或者获取服务器所支持的方法

  • TRACE 回显服务器收到的请求

阅读全文 »

本文首次发表在Freebuf:https://www.freebuf.com/articles/web/195925.html

同源策略

准确的说,同源策略是指,浏览器内部在发起如下请求时,该来源必须是当前同源的HTTP资源:

  1. 以跨站点的方式调用XMLHttpRequest或者Fetch API。
  2. Web字体(用于CSS中@ font-face的跨域字体使用)
  3. WebGL textures
  4. 使用drawImage绘制到canvas的图像/视频帧。
  5. 样式表(用于CSSOM访问)
阅读全文 »

简介

内容安全策略 (CSP) 是一个额外的安全层,用于允许站点的管理者控制页面上哪些资源能够被用户代理程序加载。以阻止包括跨站脚本 (XSS) 、数据注入等攻击。

使用

在HTTP头部指定策略

1
Content-Security-Policy: policy

使用meta标签指定策略

阅读全文 »

今天碰上事情,加上自己又菜,只做出两题。

web-babygo

题目给出了源代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
<?php
@error_reporting(1);
include 'flag.php';
class baby
{
protected $skyobj;
public $aaa;
public $bbb;
function __construct()
{
$this->skyobj = new sec;
}
function __toString()
{
if (isset($this->skyobj))
return $this->skyobj->read();
}
}

class cool
{
public $filename;
public $nice; //baby object
public $amzing; //baby object serialized
function read()
{
$this->nice = unserialize($this->amzing);
echo $sth;
$this->nice->aaa = $sth;
if($this->nice->aaa === $this->nice->bbb)
{
$file = "./{$this->filename}";
if (file_get_contents($file))
{
return file_get_contents($file);
}
else
{
return "you must be joking!";
}
}
}
}

class sec
{
function read()
{
return "it's so sec~~";
}
}

if (isset($_GET['data']))
{
$Input_data = unserialize($_GET['data']); //baby object
echo $Input_data;
}
else
{
highlight_file("./index.php");
}
?>
阅读全文 »

实现包含XXE漏洞的服务

新建项目

不说废话,首先实现一个包含XXE漏洞的服务吧,新建一个SpringBoot项目:
1548150750904

建好之后目录如下

1548154022764

定义Controller

新建XXEController.java:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
@RestController
public class XXEController {
@PostMapping(value = "/xxe")
public String xxe(@RequestBody String userString) throws ParserConfigurationException, IOException, SAXException {
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
DocumentBuilder db = dbf.newDocumentBuilder();
Document doc = db.parse(new ByteArrayInputStream(userString.getBytes("utf-8")));
String username = getValueByTagName(doc, "username");
String password = getValueByTagName(doc, "password");
return "Username: " + username + "Password: " + password;
}

private String getValueByTagName(Document doc, String tagName) {
if (doc == null || tagName.equals(null)) {
return "";
}
NodeList pl = doc.getElementsByTagName(tagName);
if (pl != null && pl.getLength() > 0) {
return pl.item(0).getTextContent();
}
return "";
}
}
阅读全文 »

漏洞复现

0x00 靶机配置

  1. IP:192.168.99.100

  2. 使用apt install redis-server安装redis服务

  3. vi /etc/redis/redis.conf,注释掉bind 127.0.0.1 ::1即让redis监听所有网段

  4. 新版的redis无密码时会触发保护模式,使用CONFIG SET protected-mode no解除保护模式

  5. 以root身份启动redis

    1
    2
    3
    4
    [email protected]:/etc# ps -ef|grep redis-server
    redis 2847 1 0 21:05 ? 00:00:04 /usr/bin/redis-server *:6379
    [email protected]:/etc# kill -9 2847
    [email protected]:/etc# redis-server
阅读全文 »

看完Java的反序列化之后,再看PHP的就很容易,毕竟PHP的反序列化的结果是文本格式。

序列化/反序列化Demo

php的序列化/反序列化的函数主要是serialize和unserialize,参考“最通俗易懂的PHP反序列化原理分析”一文,示例代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
class Person {
public $name = "Anemone";
public $sex = "man";
public $age = 18;
public function toString(){
return $this->name." ".$this->sex." ".$this->age;
}
}

$person = new Person();
$person->age=19;
// 序列化
$serialized=serialize($person);
echo $serialized;
echo "\n";
// 反序列化
$new_person=unserialize($serialized);
echo print_r($new_person);
echo "\n";
阅读全文 »

利用Commons Collections攻击反序列化漏洞由FoxGlove Security团队首次提出,也是我们第一次看到反序列化类型漏洞的利用,而其整个利用过程后来也被成为面向属性编程(POP),虽然事隔久远,但是还是参考先前大佬们的研究学习一下。

Apache Commons Collections

阅读全文 »