sh0rk的博客

Vue-CLI官方文档入门视频学习安装# 安装 vuenpm install vue# 全局安装 vue-clinpm install --global vue-cli开始项目# 创建一个基于 webpack 模板的新项目,这里需要进行一些配置，默认回车即可vue init webpack my-projectcd my-projectnpm installnpm ru...

Vue-CDNindex.html<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <title>Vue.js</title> <link rel="stylesheet&qu

日常：广告屏蔽：adBlock插件管理软件：One key Manger脚本管理：Tampermonkeychrome使用vim操作：Vimium翻译插件：划词翻译gmail邮箱插件：Checker Plus for Gmail实用：网页内容高亮保存笔记：Additor截屏，录屏：Awesome Screenshot，Take Webpage Screenshots Ent...

业务逻辑漏洞权限绕过漏洞支付逻辑漏洞密码找回漏洞验证码暴力破解验证码重复使用验证码客户端回显验证码绕过验证码自动识别

文件上传漏洞什么是文件上传漏洞利用方法进阶防御什么是文件上传漏洞利用可以上传的地方将恶意代码植入到服务器中，再通过url去访问以执行代码。利用方法客户端验证绕过文件名绕过Content-Type绕过CONTENT-LENGTH绕过解析漏洞利用windows特性，会自动去掉后缀名中最后的”.”，可在后缀名中加”.”绕过进阶重汇图phpinfo与本地文件包含利用在线解压...

文件包含什么是文件包含利用方法本地文件包含远程文件包含进阶防御什么是文件包含顾名思义，打开并包含本地或者远程文件的漏洞利用方法本地文件包含远程文件包含进阶LFI with PHPInfo防御严格判断包含中的参数是否外部可控路径限制：限制被包含的文件只能在某一文件夹内，一定要禁止目录跳转字符如"../","..\"使用白名单!!!...

SSRF什么是SSRF利用方法进阶防御检测请求url流程什么是SSRFSSRF(Server-Side Request Forgery)，服务器端请求伪造，利用漏洞伪造服务器端发起请求，从而突破客户端获取不到数据限制。利用方法进阶ssrf绕过技巧file协议的运用gopher协议的运用dict协议应用防御代码防御（严格按照公司的内部代码规范进行代码的编写）检测请求url流...

XXE什么是XXE利用方法进阶学习防御理论上的防御措施实践有效的防御措施什么是XXEXXE：XML External Entity 即外部实体，从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时，解析了攻击者伪造的外部实体而产生的。利用方法file:///C:/Windows/win.ini<?xml versi...

SQL注入什么是sql注入利用方法手工简单识别工具识别分类进阶防御什么是sql注入sql注入是一种常见的Web安全漏洞，攻击者利用这个漏洞，可以访问或修改数据，或者利用潜在的数据库漏洞进行攻击利用方法获取用户请求的参数拼接到代码中拼接到代码中SQL语句按照我们构造参数的语义执行成功SQL语句按照我们构造参数的语义执行成功手工简单识别and 1=1and ‘1’=1and 1...

Command Injection（命令注入）什么是命令注入利用方法判断步骤使用进阶防御什么是命令注入恶意用户通过构造请求，对于一些执行系统命令的功能点进行构造注入，本质上是数据与代码未分离。对于特殊的需求没有对请求进行过滤，导致绕过从而导致注入。利用方法判断步骤判断是否执行系统命令判断函数或函数的参数是否可控判断函数或函数的参数是否可控判断是否拼接注入命令判断是否拼接注入命令...

-- DROP PROCEDURE test_insertDELIMITER ;; CREATE PROCEDURE test_insert () BEGIN DECLARE i INT DEFAULT 1;WHILE i<500 DO insert into areainfo VALUES (i,"province","city","area&quot

操作中心• Win+A：打开操作中心（注：下面几个快捷键在打开操作中心后执行）• Tab：在通知、通知组以及快捷按钮之间向前移动• Shift+Tab：在通知、通知组以及快捷按钮之间向后移动• 空格或Enter：打开选定的项• Delete：删除选定的通知或通知组窗口大小调整• Win+上/下：使应用窗口在最大化，正常状态以及最小化之间进行切换（非新增）• Win+左/右：使应用窗...

截图贴图Snipaste视频播放器potPlayer文件预览工具seer剪贴板增强工具ditto文件管理软件rolan文件搜索工具everything

截图贴图Snipaste视频播放器potPlayer文件预览工具seer剪贴板增强工具ditto文件管理软件rolan文件搜索工具everything

登陆服务器，修改/etc/nginx/nginx.conf# 在需要添加索引的server中添加location / { # 启动索引功能 autoindex on; # 显示文件时间 autoindex_localtime on; }...

在域名解析的控制台进行操作，我这里用的是腾讯云的服务器。添加记录：保存：登陆服务器，修改/etc/nginx/nginx.conf server { listen 80 default_server; listen [::]:80 default_server; server_name _;...

安装登陆服务器，判断是否为root，不是则sudo su提升为管理员权限yum update更新apt源yum install gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel -y安装一系列依赖yum install nginx -y安装nginxsystemctl start nginx.service启动n...

直接访问在webapps/ROOT底下创建a.html， 在浏览器里面访问：http://localhost:8080/a.html在webaps下面新建一个文件夹myweb , 然后把a.html放进去http://localhost:8080/myweb/a.htmlhttp://localhost:8080 ： 对应的是webapps/roothttp://localhos...

CSRF什么是CSRF利用方法进阶防御什么是CSRFCSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。利用方法index.jsp<html><head> <title>CSRF Te...

XSS什么是XSS分类利用方法进阶防御什么是XSS跨站脚本攻击(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。分类利用方法...