- 博客(16)
- 收藏
- 关注
RSS订阅原创 xss笔记与打靶(更新中)
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的网络安全漏洞,攻击者在网页中嵌入客户端脚本,通常是js编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。XSS 通常用于窃取用户信息、会话劫持、篡改网页内容或传播恶意软件。如:盗取网站保存的cookie登陆其他用户,摄像头拍照需要有xss接受平台生成一段js文件找到由xss漏洞的地方,植入js等待受害者访问发送的网址不要点,用虚拟机点。
2025-03-03 14:35:16
864
原创 sql-labs靶场笔记
table_name=‘emails’ limit 0,1),1,1))=105),sleep(5),1) – qwe如果返回正常,说明emails表中的列名称。通过该列可以筛选出特定数据库下的所有表。table_schema=database() limit 0,1),1,1))=101),sleep(5),1) – qwe 延时,说明数据库名称第二位。table_schema=database() limit 0,1),1,1))=101),sleep(5),1) – qwe延时,说明数据库表名的第。
2025-03-03 13:08:15
992
原创 sql注入学习小笔记
SQL注入(SQL Injection)是一种常见的Web安全漏洞,形成的主要原因是web应用程序在接收相关数据参数时未做好过滤,将其直接带入到数据库中查询,导致攻击者可以拼接执行构造的SQL语句。那什么是SQL?结构化查询语言(Structured Query Language,缩写:SQL),是一种关系型数据库查询的标准编程语言,用于存取数据以及查询、更新、删除和管理关系型数据库(即SQL是一种数据库查询语言)mysql union 用于把来自多个select 语句的结果组合到一个结果集合中。
2025-03-01 18:43:05
665
原创 mysql的记录笔记
创建表:使用语句,可定义表结构,包括列名、数据类型、约束等。如创建了一个名为students的表。修改表用于修改表结构,如添加列,或修改列的数据类型等。删除表DROP TABLE语句用于删除表,如,使用时需谨慎,因为会删除表的所有数据和结构。Structure Query Language(结构化查询语言)简称SQL,它被美国国家标准局(ANSI)确定为关系型数据库语言的美国标准,后被国际化标准组织(ISO)采纳为关系数据库语言的国际标准。数据库管理系统可以通过SQL管理数据库;
2025-03-01 18:40:40
1017
原创 信息收集学习笔记,以及ctfshow的一些题目
CDN是IP信息探测或打点必不可绕过的一个话题。当目标使用了CDN加速,获取到的目标ip不一定是真实ip。所以通常在实施端口、漏扫等测试之前,需判断下是否真实IP,是否使用了CDN或其他代理等等,避免无效操作、蜜罐、非目标点。CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。
2025-03-01 18:37:17
1866
原创 文件下载和上传学习笔记,以及upload打靶练习
例如:www.example/download.php?filename=参数这种通过传参的形式下载的必须知道文件名文件上传漏洞服务端代码未对客户端上传的文件进行严格的验证,导致漏洞。非法用户可以利用上传的恶意文件控制整个网站,这个恶意文件被称为 WebShell ,也可以称为一种网页后门。文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。
2025-03-01 18:35:01
1058
原创 大致解析web安全网课记录
少年就是少年,少年不是由年龄决定,而是由心态。他们看春风不喜,看夏蝉不烦,看秋风不悲,看冬雪不叹,看满身富贵懒察觉,看不公不允敢面对。只因他们是少年。——俄国·陀思妥耶夫斯基《少年》
2025-01-31 16:01:48
677
原创 交换机集线器路由
在没有WIFE,都用网线连接电脑设备,进行设备间数据的传输。需要增加设备连接,就有了集线器,集线器有多个端口。只让两台电脑之间通信,还好每台电脑有自己的MAC地址(就是物理地址)。理论上,每台网络设备都有全球唯一的MAC地址。通信数据会被封装成数据帧,加入自己和目标的MAC地址。集线器会发送个每台设备,会检查帧里的地址,不符合丢弃。如果两台设备同时通过集线器发送数据,会有碰撞,数据帧就会被丢弃。
2025-01-26 18:49:09
342
2原创 Linux kali学习笔记
Shell是用户与Linux内核之间的接口程序,它为用户提供了一个,用户可以在其中输入命令,系统将执行这些命令并返回结果。常见的Shell有Bash、Zsh等。(那个黑框框?).它的核心任务是接收用户输入的命令,对命令进行解析和处理,然后将命令传递给操作系统内核来执行,并将执行结果返回给用户。Shell具有解释命令、执行脚本、提供环境变量等功能,还可以进行输入输出重定向、管道操作等。比如在Bash中输入ls。
2025-01-23 09:34:42
713
原创 HTTP和URL
常见互联网协议 http, https 重点分析http协议报文结构。什么是url,uri,目录,路由,并熟悉他们的结构。网络包的发送,HTTP请求和响应
2025-01-21 16:56:02
2072
原创 IP学习笔记记录
在在网络通信中,为保证正常通行,每个设备都要配置正确的IP地址,否则不能正常通信。IPv4由32位正整数来表示,IP地址在计算机是以二进制的方式来处理的。为了方便记忆,采用了点分十进制的标记方式,也就是32位IP地址以每8位为一组,共分为4组,每组以.进行隔开,在转成十进制。IPv4二进制11000000101010000000000100000001IPv4十进制19216811点分十进制192.168.1.1。
2025-01-19 19:29:12
835
原创 base中TCP/IP基础学习笔记
TCP/IP网络通常是由上到下分成4层,分别是应用层,传输层,网络层和网络接口层。应用层:应用数据传输层:应用数据TCP头网络层:应用数据TCP头IP头网络连接层:应用数据TCP头IP头帧头网络接口层的传输单位是帧(frame),IP层的传输单位是包(packet),TCP层的传输单位是段(segment),HTTP的传输单位则是消息或报文(message)。但这些名词并没有什么本质的区分,可以统称为数据包。
2025-01-18 14:55:19
1759
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人