吃瓜猴-CSDN博客

原创 OneForall在windows中的安装与使用过程中的问题解决

首先，安装和在安装中的问题在下面这篇文章都可以找的到，不再赘述跟着文章走完‘dns’之后，后面再提示你缺什么，直接pip install什么就可以。

2024-02-26 17:09:53 658 1

原创使用burpsuit的repeater模块点击send后response模块提示Failed to connect to ×××.×××.×××.×××

前段时间体验了一把xray、burpsuit和awvs的联动，设置了上游代理却没有关，在burpsuit的repeater模块修改完数据后点击send，在response模块一直提示Failed to connect to 127.0.0.7777，百思不得其解。将enable取消勾选。

2023-12-05 15:01:48 868 3

原创解决windows系统80端口被system占用问题

搬运一篇文章，写的很好，可以完美解决windows系统80端口被system（pid为4）占用问题：

2023-11-29 16:29:15 466 1

原创解决AWVS 23版重装后扫描失败问题

首先呢，写这个是为了记录一下，本来是在学习漏扫工具的时候想要安装AWVS配合burp和xray使用来着，结果第一次安装成功之后想要将AWVS修改到其他盘符就把他卸载了，最后导致再安装使用的时候一直扫描失败，捣鼓了大半天才成功o(╥﹏╥)o。

2023-10-25 10:08:35 1719 1

在解析 XML 文档时，如果遇到了一个引用了外部实体的节点，则解析器会去解析这个外部实体，并将其内容替换为实体引用的内容。当解析器解析到这个节点时，就会去解析实体，并将实体的内容替换为节点的内容，最终导致应用程序读取了 /etc/passwd 文件的内容。需要注意的是，以上措施只是一些常见的防范措施，您需要根据具体情况设计和实现适当的防范措施，以保护您的应用程序免受 XXE 漏洞的威胁。采用安全的 XML 解析器：选择采用安全可靠的 XML 解析器，避免使用老旧的解析器或未经安全验证的解析器。

2023-05-06 18:48:38 719

原创为什么在应急响应中应着重去看响应包为状态码为302的

当服务器收到一个请求时，如果它无法处理该请求，或者如果它决定将请求发送到另一个URL以获取所需的资源，则会生成一个302状态码响应，并将浏览器重定向到另一个URL。因此，在应急响应中，特别是在处理与Web服务器相关的安全事件时，需要仔细检查响应状态码为302的请求和响应，并尝试确定请求的目标URL是否存在安全问题。在应急响应中，需要着重去看响应状态码为302的原因是，这通常意味着服务器对请求进行了。重定向是一种常见的Web服务器行为，通常用于将请求从一个URL重定向到另一个URL。

2023-05-04 17:16:08 416

原创 SQL预编译原理

通过SQL预编译，可以减少SQL语句的解析和编译时间，提高数据库的执行效率。此外，SQL预编译还可以防止SQL注入攻击，因为预编译的过程会对SQL语句和参数进行严格的类型检查和转换，使得攻击者无法通过注入恶意代码来破坏SQL语句的结构和语义。SQL预编译是一种常见的数据库优化技术，其基本原理是将SQL语句和参数分开处理，先将SQL语句编译成一种中间形式，再将参数值与编译后的SQL语句进行动态绑定，最终生成可以直接执行的SQL语句。客户端向数据库发送预编译请求，其中包含SQL语句和参数列表。

2023-05-04 16:53:18 820

原创 SQL预编译的绕过

SQL语句中使用函数或存储过程：如果在SQL语句中使用了函数或存储过程，攻击者可以构造恶意的输入，使其执行预期之外的操作，绕过预编译过程。动态拼接SQL语句：如果动态地拼接SQL语句，例如使用字符串拼接、字符串格式化等方式，攻击者同样可以利用字符串的特性来绕过预编译过程。在这个示例中，表名和列名是动态拼接的，如果攻击者可以控制表名或列名，就可以构造恶意的SQL语句，绕过预编译过程。字符串拼接：如果在SQL预编译语句中使用了字符串拼接，攻击者可以通过构造特定的字符串来绕过预编译过程。

2023-05-01 21:46:43 2526

原创 XSS跨站脚本攻击原理及分类

指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML语句或JS脚本，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。通过在用户端注入恶意的可执行脚本，若服务器对用户的输入不进行处理或处理不严，则浏览器就会直接执行用户注入的脚本。数据交互的地方。

2023-04-28 02:57:29 183 1

原创 Nginx的CRLF注入漏洞的原理

攻击者可以将CRLF字符序列注入到HTTP请求的URL、请求头、请求体等位置，从而欺骗Nginx将HTTP请求解析为多个请求，其中第一个请求包含了攻击者注入的CRLF字符序列，之后的请求则包含了攻击者控制的请求内容。Nginx会将此请求解析为两个请求：第一个请求包含了攻击者注入的CRLF字符序列，之后的请求则包含了攻击者控制的请求内容，从而导致恶意脚本被执行。为了避免Nginx的CRLF注入漏洞，应该对HTTP请求中的换行符和回车符进行严格的过滤和验证，避免攻击者注入恶意的CRLF字符序列。

2023-04-27 01:28:26 660

原创使用ssh远程连接工具Xshell连接到linux内，并实现文件上传和下载

直接输入rz会弹出一个文件框，让你选择上传文件，选择好文件后，直接上传即可完成主机与虚拟机之间的文件交互。发现无法安装，解决办法是需要先将openssh-server删除，然后再重新安装。打开xshell，点击新建进入到下面这个界面，输入虚拟机的名字以及ip地址。（1）首先发现linux终端找不到rz命令，直接进行下载。接下来根据提示输入linux的账号和密码就可以了。这里补充一点linux虚拟机的地址从哪看。红框位置即为linux的地址。（2）使用rz命令进行上传。

2023-04-27 01:23:54 1114 1

原创 windows10ftp搭建，实现主机与虚拟机文件传输文件，以及解决FTP文件夹错误，无法与服务器建立连接。

1.我是用的win10虚拟机来搭建ftp首先，打开控制面板，点击程序2.选择启用或关闭Windows功能3.勾选以下选项，点击确定。这一步的主要目的是开启IIS管理控制台进入等待4.搜索IIS管理器，双击打开5.右击网站，选择添加FTP站点6.这时弹出下面界面，任意填写，想叫啥叫啥。是你想要共享的文件夹，可以自由选取。7.这时我们需要获取本地ip，直接win+r，输入cmd，进入命令提示框后，输入ipconfig，得到自己的ip地址。将ip地址填入到选择无8.这里按照图片选择。

2023-04-04 16:13:06 6814 5

AoaNgzh的博客