- 博客(36)
- 收藏
- 关注
RSS订阅原创 网络通信——流量与路由(万字解读)
是由一条或多条规则组成的集合。本质上是一种报文过滤器,规则是过滤器的滤芯,通过规则与指定的报文进行匹配,可以过滤特定的报文,并根据ACL的具体动作是允许还是阻止报文。值描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等(1.3)条件工具ACL应用示例1ACL通过匹配报文的信息实现对报文的分类这里的0.0.255.255中,各比特中,检查0,忽略1所以acl只匹配前缀长度,不匹配掩码以OSPF为例,filter-policy生效规则如。
2024-10-12 18:54:58
1310
原创 网络通信——OSPF和RIP的区别(总结)
而OSPF实用于中大型网络,路由器多,里面有很多lsa数据包,可能形成广播风暴,所以引入区域这个概念,减少lsa在整个区域的传播。而OSPF通过Hello包建立邻居关系,在通过dbd,lsu,lsa,lsr数据包建立邻接关系。OSPF是触发更新和增量更新,通过更新链路信息,通过SPF算法计算就有的路由,添加到路由表中。OSPF采用的是链路信息更新,通过SPF算法,没有最大条数限制,适用于中大型网络。RIP是通过触发更新,路由中毒,水平分割,毒性逆转,16跳不可达实现防环机制。RIP是一个距离向量路由协议。
2024-10-05 18:11:20
671
原创 网络通信——动态路由协议RIP
首先我们要知道分类有哪些,这里主要是RIP和OSPF。IS-IS一般是移动,联通,电信,广电这种供应商使用的。GRP,EIGRP这俩都是思科家的路由协议。距离向量路由协议:RIP,GRP,EIGRP链路状态路由协议:OSPF,IS-IS这里的距离和链路可以这样理解。1.距离矢量路由协议(有大小,有方向(比方说前往北京需要500公里)2.链路状态路由协议(整体大概布局,进行链路分析,筛选出来,比方说,前往北京,我需要知道中国的整个地图,城市怎么分布)
2024-09-30 20:23:00
1334
原创 基础漏洞——SSTI(服务器模板注入)
首先可以通过SSTI(Server-Side Template Injection)从名字可以看出即是服务器端模板注入。有些框架一般都采用MVC的模式。用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。MVC架构M:mysqlV:VIEWC:控制器C:控制器——>M:mysql——>V:VIEW。
2024-09-27 23:39:59
881
原创 2021年的burpsuite安装。
安装burpsuite很简单的。1.要有java环境,也就是jdk,并且jdk版本要与burpsuite要对应。(如果你的bp安装不起,可能是你的jdk版本不对)2.就是按照我都步骤走就行。3.下载完文件之后,全程离线操作说明一下:这里我用的jdk8,可以去官网下载,也可以直接用这个jdk11如果说你在安装的过程中,不小心发现没有破解页面了,可以将.cfg文件删掉,重新按照步骤走就行。提取码: l13b。
2024-09-26 16:35:15
714
原创 网络通信——NAT(网络地址转换)
一.NAT是什么1.首先运营商维护的网络时公网的,使用的是公网的IP地址,而私有的IP地址的不能的在公网上路由,为了保证网络互通,所以有了NAT技术。2.NAT一般部署在公网和私网上的网关设备上面。二.为什么会这样因为你只要出到外网就无法识别,公网无法识别私有IP地址,所以必须转换。三.NAT能做什么1.私有地址和公有地址的转换。保证的网络的互通,流畅,节省公网的IP地址。
2024-09-23 15:21:50
685
原创 网络通信——路由器、交换机、集线器(HUB)
5.根据路由表来进行路径选择,选择最佳路径 (路由器它只会选择最佳路径)4.数据转发 (由路由表转发数据)注意:传输层,应用层没有网路设备。二.交换机(数据链路层设备),帧。3.一般接口位4,8,12。2.一个接口就是一个广播域。一.路由器(网络层设备)一.路由器(网络层设备)三.集线器(物理层设备)
2024-09-23 07:00:00
429
原创 网络通信——OSI七层模型和TCP/IP模型
七层模型是一种将网络通信协议划分为七个不同层次的标准化框架。每一层都负责不同的功能,从物理连接到应用程序的处理。这种模型有助于不同的系统之间进行通信时,更好地理解和管理网络通信的过程。
2024-09-22 16:36:57
1833
原创 基础漏洞——SSRF
由于手机屏幕大小的关系,直接浏览网页内容的时候会造成许多不便,因此有些公司提供了转码功能,把网页内容通过相关手段转为适合手机屏幕浏览的样式。1、分享,通过URL地址分享网页内容,通过URL获取目标页标签等内容。1.分享,通过URL地址分享网页内容,通过URL获取目标页标签等内容。2、转码服务,适配手机屏幕大小,通过URL地址进行图片转码。2.转码服务,适配手机屏幕大小,通过URL地址进行图片转码。来进行端口探测,这个的目的:如果探测到你的端口。
2024-09-21 13:07:44
1068
原创 2021的OWASP TOP 10
OWASP(开放Web应用安全项目)是一个非营利性组织,旨在提高软件安全性。每四年一个更新,2025年就会再次更新,到时候这篇文章也会实时更新。我主要从定义,场景,原因,影响,防护措施进行介绍。
2024-09-20 15:59:39
1200
原创 Linux基础命令——账户简单管理
4.会话类型:如果 root 用户通过 su 命令切换到其他用户,原始的 root 会话可能会被隐藏。这里可以通过/etc/shadow文件下看到,stu02用户密码,前面有感叹号,而正常情况下是没有的。1.没有通过终端登录,root 用户可能通过图形界面(如桌面环境)登录。命令:ps aux (显示所有用户的进程信息)命令:ps -p 1 (显示进程 ID 为 1 的进程)命令:ps -u username (显示指定用户的进程)命令:ps ( 显示当前终端的进程)
2024-09-20 11:44:54
1292
原创 Linux基础命令——文件系统的日常管理
命令:ln ./yangyao/a/66666.txt 77777777777.txt。命令:tar -xzvf b.tar.gz。可以查看硬链接文件,而不能查看符号链接。命令:tar -xvf b.tar。输入内容,用ctrl+d保存。命令:whereis gcc。(3.2)使用cat命令。
2024-09-19 19:59:47
933
原创 基础漏洞——任意命令执行漏洞
这种漏洞一般是因为应用系统在设计的时候需要给用户提供指定的远程操作接口,比如说我们的路由器,防火墙,入侵检测等等设备管理界面上。
2024-09-19 08:30:00
932
原创 fastjson漏洞
json格式数据一个件,一个值"key1" : "张三",//键:值"key2" : 大忽悠"也可以嵌套fastjson是将json格式反序列化为对象,还可以将一个对象序列转换为json格式数据。json={"age":20,"student":"name":"stu",age:18//student是子类哈序列化后:"name":"yy","age":20,"isStudent":123,{"student":"name":"stu",age:18,}
2024-09-18 12:30:00
881
原创 基础漏洞——任意文件查看与下载漏洞
file_get_contents():直接读取文件内容,输出读取内容。不会在正常页面上显示,会在源码里面显示出来,不被解析,直接呈现出来。readfile():直接读取文件内容,自带输出功能。fread():读取文件,输出文件。代码审计,查找更多可利用的代码。
2024-09-16 14:00:00
463
原创 基础漏洞——文件包含漏洞
程序员对于多次使用的代码或数据,将其封装成一个文件,使用include,require等函数进行包含调用。由于web应用对于用户输入的数据没有进行严格的过滤或没有进行过滤,导致用户输入的数据可以直接接触危险函数include,require等函数,从而使用户或攻击者的文件内容执行,使服务器沦陷。
2024-09-16 07:00:00
876
原创 基础漏洞——CSRF(跨站请求伪造)漏洞
跨站请求伪造又被为one-clickattack,通常缩写为CSRF或者XSRF是一种挟持用户在当前已经登录的web应用程序上执行非本意的操作的攻击方式。
2024-09-15 08:00:00
299
原创 基础漏洞——SQL注入原理和利用
由于web应用程序对用户输入的数据的合法性没有进行判断或过滤不严,攻击者可以通过在查询语句后面加入额外的SQL语句,以此来实现欺骗数据库执行非授权的操作查询。
2024-09-14 18:15:00
703
原创 基础漏洞——XSS漏洞(跨站脚本攻击)
我是攻击者第一步:我对一个网站测试,发现这个网站有个留言板,我向留言班中输入JS脚本,上传给web服务器,服务器接收到之后,将我的JS脚本保存在数据中。第二步:当一个用户user浏览到我的页面,此时用户user可能不知情情况下发送给脚本给web服务,web服务器返回js脚本。第三步:用户user的web页面解析从web服务器拿到的数据,将我都JS脚本执行,把自己的cookie上传给我。
2024-09-14 13:53:43
367
原创 HTTP协议——响应码
服务器希望客户端使用另一个URI来访问资源,一般会与响应包中Location字段一起用,返回给客户端,自动重定向到服务器的给的url。500 Internal Server Error(内部服务器错误)301 Moved Permanently(永久移动)304 Not Modified(未修改)客户端需要通过代理服务器来访问所请求的资源。400 Bad Request(错误请求)305 Use Proxy(使用代理)302 Found(已找到)
2024-09-13 14:39:29
897
原创 JAVA——反序列化漏洞(基础)
/定义了一个类叫User,并且继承Serializable这个类,没有这个类,就无法序列化,java会报错//name属性,默认值lisi//age属性,默认18//构造User成员方法,并且调用name,age属性//name赋值的格式//age赋值的格式//重载:因为类里面已经有了toString这个方法,想要再用,就需要这个,进行重载@Override//重载构造了toString这个方法,类似重新写了这个方法。
2024-09-12 19:29:10
1032
原创 信息安全——HTTP请求/响应详细内容
(DNT),叫君子协议,隐私保护的协议,置1的话,就表示web服务器不会对记录我们浏览记录和关键词,服务器如果遵循这个协议,那就不会给cookie,但这都是看服务器处不处理这个字段,全靠服务器的“自觉”。表示连接状态,当前的事务完成后,是否会关闭网络连接,close就是表示断开,keep-alive表示继续连接。注意:一般都不会去特意记,我一般遇到才记,因为确实太多,一次性记的话,不显示,而且容易忘记,有些也不常见。浏览器优先识别的语言,q代表前一个语言的权重,0
2024-09-12 12:09:15
999
1原创 Linux的系统目录结构和基础目录解释
我是以CentOS7系统来呈现的。目录一.Linux的系统目录结构二.Linux目录介绍(1)bin目录:放着最经常使用的命令 (2)dev目录:Device(设备) 的缩写 ,比如cup、硬盘、光驱、键盘、鼠标等设备以文件形式存储。(3)home目录:用户的主目录,每个用户都有一个自己的目录,该目录名是以用户的账号命名的。比如下图(4)lib目录:Library(库) 的缩写,存放着系统最基本的动态连接共享库,其作用类似于 Windows 里的 DLL 文件。一般存放的文件是/bin目录下程序所需要的库文
2024-09-10 14:47:58
1066
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人