- 博客(6)
- 收藏
- 关注
RSS订阅原创 跨站脚本攻击漏洞基础
XSS(跨站脚本攻击)是一种客户端代码注入攻击,攻击者通过向网页插入恶意脚本窃取用户信息或控制浏览器。主要分为反射型、存储型和DOM型三类,分别通过URL参数、数据库存储和客户端DOM操作触发。XSS可导致钓鱼攻击、身份盗用、网站挂马等危害。防御措施包括输入过滤、输出转义、设置HttpOnly属性和CSP策略。测试工具如XSStrike和BeEF可用于漏洞检测和攻击演示。本文仅供技术研究,严禁非法使用。
2025-12-22 10:23:04
970
原创 文件上传-结合upload-labs靶场小记
文件上传漏洞是由于应用程序未对用户上传文件进行严格安全控制,导致攻击者可上传恶意文件(如Webshell、木马等)并执行恶意操作。常见漏洞原因包括:文件类型校验不严、权限设置不当、路径过滤缺失等。绕过检测方法有:修改后缀名(如php3/phtml)、利用.htaccess/.user.ini配置文件、Windows特性(空格/点截断)、%00截断、图片马结合文件包含等。防御需采用白名单校验、严格过滤文件内容和路径、限制文件大小及正确配置服务器权限。典型攻击场景如条件竞争漏洞,通过快速上传访问触发恶意代码执行
2025-11-30 21:37:31
912
原创 信息收集工具及网站介绍
文章摘要:本文详细介绍了网络安全信息收集的常用工具和方法。主要包括:1.域名查询(Whois)工具如aliyun、chinaz等;2.子域名搜索方法,包括搜索引擎、第三方接口、空间测绘工具(FoFA、鹰图等)及JSFinder等工具;3.IP查询与C段探测;4.端口扫描(Nmap);5.目录扫描工具(dirsearch、dirb等);6.自动化信息收集工具ARL灯塔和EHole。这些工具可交叉配合使用,帮助全面评估网络资产安全状况。(149字)
2025-11-12 19:05:39
971
原创 常见的Sql注入利用及sqlmap的简单使用(均在靶场内实现)
本文系统梳理了SQL注入技术,包括以下核心内容:1. 注入基础知识:URL编码规则(%23代替#、%20代替空格等)、进制标识方法;2. 常见注入点:URL参数、表单输入、Cookie、HTTP头部字段等;3. 主要注入方法:联合查询(union)、布尔盲注(length/substr/ascii)、时间盲注(if/sleep)、报错注入(updatexml/extractvalue)、宽字节注入、DNSLOG注入;4. 完整注入流程:判断注入点→闭合方式→字段数→回显位→获取库/表/列信息→提取数据;5.
2025-10-13 15:46:17
1209
原创 字符串操作函数
函数格式为:void * memcpy( void * destination , const void * source , size_t num)函数格式为:char * strstr( const char * str1 , const char * str2 )函数格式:char * strtok( char * str , const char * sep )类似函数有strncat(char *destination , char * str ,
2024-05-03 15:57:22
270
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人