《攻防世界》学习笔记——web篇

最新推荐文章于 2024-05-28 08:58:34 发布
最新推荐文章于 2024-05-28 08:58:34 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 《攻防世界》 文章标签: 爬虫 http web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KUB_1458/article/details/120793575
版权

《攻防世界》学习笔记——web篇

01 Robots协议

Robots协议全称”网络爬虫排除标准”(Robots Exclusion
Protocol),又简称”爬虫协议”,用于告诉搜索引擎网站哪些网页可以抓取,哪些不可以抓取.Robots协议是一个行业公认的规范,几乎所有的搜索引擎都遵守这一标准

url/robots.txt 查看某网页的robots协议

Robots协义的使用

1:禁止所有搜索引擎对网站进行一个抓取

  User-agent: *

  Disallow: /

2:允许所有搜索引擎对整个网站进行一个抓取或者直接不设置robots协议文件则代表允许所有搜索引擎对网站进行一个抓取

  User-agent: *

  Allow: /

3:不允百度对网站进行一个抓取

  User-agent:Baiduspider

  Disallow: /

4:只允许百度对网站进行一个抓取

  User-agent:Baiduspider

  allow: /

  User-agent:*

  Disallow: /

5:禁止所有蛛蛛抓取某个特定的目录a和b

  User-agent:*

  Disallow: /a/

  Disallow: /b/

6: 禁止访问所有以某个后缀结束的文件(.htm)

  User-agent:*
  
  Disallow: /*.htm$

02 BACKUP

一般备份文件名是xxx.bak,所以如果我们需要拿到index.php的备份文件,只需输入index.php.bak就好。要是管理员手动备份自己取名的,可能备份文件名就不一样了。

03 Cookie

Cookie,有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。

举例来说, 一个 Web 站点会为每一个访问者产生一个唯一的ID, 然后以 Cookie 文件的形式保存在每个用户的机器上。如果使用浏览器访问 Web, 会看到所有保存在硬盘上的 Cookie。在这个文件夹里每一个文件都是一个由“名/值”对组成的文本文件,另外还有一个文件保存有所有对应的 Web 站点的信息。在这里的每个 Cookie 文件都是一个简单而又普通的文本文件。透过文件名, 就可以看到是哪个 Web 站点在机器上放置了Cookie(当然站点信息在文件里也有保存)

由于Cookies是我们浏览的网站传输到用户计算机硬盘中的文本文件或内存中的数据,因此它在硬盘中存放的位置与使用的操作系统和浏览器密切相关。在Windows9X系统计算机中,Cookies文件的存放位置为C:\Windows\Cookies,在WindowsNT/2000/XP的计算机中,Cookies文件的存放位置为C:\DocumentsandSettings\用户名\Cookies。硬盘中的Cookies文件可以被Web浏览器读取。
要注意的是:硬盘中的Cookies属于文本文件,不是程序。

查看cookie

按下F12,打开开发者工具,
选择"Console(控制台)"选项卡,输入document.cookie,回车就可以查看当前网站的Cookie了。
输入document.cookie="xxx=xxx",就可以修改cookie的内容了

04 disabled_button(chrome游览器F12指南)

F12开发者工具使用教程可以看这个视频

https://www.bilibili.com/video/BV1i7411m7o9/?spm_id_from=333.788.recommend_more_video.-1

更推荐看这个学习(比视频实用)
https://www.cnblogs.com/fcc-123/p/11319975.html

05 弱口令

user admin
password 123456

06 PHP——最好的语言

速学PHP
https://www.cnblogs.com/best/p/8270694.html

07 http请求

https://www.cnblogs.com/weibanggang/p/9454581.html

KARMA_1993
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
CTF——攻防世界第一
01-08
昨天下午看了关于ctf的视频,发现自己什么也不懂,明明每个字都是我认识的中文,但是组合到一起就不明白了。「我好难……」 而且,看视频我似乎没什么的耐性,一下午下来还是发现自己没学到什么。所以,今天,我决定刷题,在刷题的过程中遇到问题,再去解决。 第一题 没错就是这一题,我丝毫看不懂,这可是第一题…… 然后,我就去百度了……很多人的方法都不一样啊,简单的解法我弄不出来,复杂的解法我看不懂……我好难! 然后,我就综合了一下。我先是直接去搜题目中给的地址,结果它说“flag is not here”!!我就换了一种方法,我直接在这个界面摁了Fn+F12,出现了我上图右边的代码,我找了好久没看到f
CTF Web学习笔记
01-11
CTF Web学习笔记,包含杂项和WEB两部分,包含杂项简介,WEB知识点总结以及Web常用套路总结。
攻防世界学习笔记2022.5.15
u014377094的博客
05-15 586
dubblesort 32位栈题,保护开的很全,有canary保护 canary处有偏移,并不是直接ebp+4 学习点: 1.使用+-号跳过scanf,防止对canary位修改 示例,如输入+,并不会对内容修改。 2. puts函数往往会存在利用,因为以0为结尾读取,所以往往拿来泄露地址。 该题采用泄露buf中的地址来获得libc基址。不过buf中为何会有关于这些的残留,暂且不知,可能是之前同等级函数调用时残留在栈中的数据? 3.关于脚本交互。 注意什么时候u32,什么时候str(),
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 5623
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
攻防世界web刷题笔记
qq_47168481的博客
10-09 392
SSTI 反序列化 sql注入
攻防世界笔记(持续更新)
晚风不及你
04-13 679
攻防世界–新手练习区view_source/robots/backup view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解题思路:的确如题目描述一样,右键源码不管用了,直接F12查看就可以了。 cyberpeace{c497590e759b6df0b7e517c27ea4a966} robots 题目描述:X老师上课讲了Robots...
网络安全学习笔记——蓝队实战攻防
just do it
11-18 1948
蓝队一般采用技术手段发现对方在系统,技术,人员,管理及架构上的隐患和薄弱环节。其目标是尽可能找出系统中存在的所有漏洞,所以蓝队人员需要全面的攻防能力。在攻击过程中要求获取实际权限或数据,但不限手法,可通过社工手段达到攻击目的。但所有的技术使用必须遵照国家的相关法律法规。
攻防世界题目练习——Web引导模式(三)(持续更新)
qq_48550824的博客
10-16 574
它能解析 .git/index 文件,并找到工程中所有的:文件名和文件 sha1,然后去 .git/objects/ 文件夹下下载对应的文件,通过 zlib 解压文件,按原始的目录结构写入源代码。下载完成后,因为看到前面的参考博客里是用的__init__.py文件来下载,于是在我下载的githacker-master的目录下的lib目录中找到了这个文件,按照那博客上的命令还是没法下载。/etc/passwd ,但是发现。在博客3讲的拼接不是很详细,没太懂这样构造之后在代码中是怎么拼接的,于是看了博客1.
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127953659
攻防世界——Web攻防笔记
Dark0518的博客
11-18 473
第一题:view_source 学习chrome打开开发者工具的快捷键,用F12即可,Ctrl+u查看源代码,注意flag的格式为Cyberpeace{xxxxxxxx} 第二题:get_post 关于HTTP的两种请求方式get和post 具体实现需要一个Hackbar的插件,在Firefox 或Chrome添加即可 再根据提示一次完成,即可得出flag HTTP中GET和POST两种请求方式的区别: GET:Web浏览器将各表单字段名称及其值按照URL参数格式的形式,附在action属性指定的URL
攻防世界 web进阶笔记
weixin_43928140的博客
06-03 1808
0x02 NaNNaNNaNNaN-Batman 首先下载附件得到web100,用notepad++打开看下,是一些js乱码 我把源码贴到下面 <script>_='function $(){e=getEleById("c").value;length==16^be0f23233ace98aa$c7be9){tfls_aie}na_h0lnrg...
python爬虫登录到海康相机管理页面
Zlucien的博客
05-21 593
python爬虫登录到海康相机管理页面
如何被谷歌收录?
m0_75172622的博客
05-27 183
最简单的方法就是提交网站给谷歌,但这种方法可操作空间不大,一天一般也就只有十条左右的链接可以提交,对于一些大网站来说,这种方法显然不适用,这时候GPC爬虫池的好处就体现了,GPC爬虫池对希望提升Google搜索引擎中的可见度的外贸网站来说是极具吸引力的,通过增加网站被Google爬虫抓取的频率,GPC爬虫池可以显著提高网站页面的收录率,收录是seo的基本,没有收录一切都无从谈起,想做seo就要做收录,收录就是你在网络世界里涟漪,但涟漪足够多,就会形成波浪,那你网站的知名度可以说就大大提高了。
用 Python 编写网络爬虫:从网页获取数据并存储到 Excel 文件
qq_43580271的博客
05-25 877
通过本博客,我们学习了如何使用 Python 编写一个简单的网络爬虫,用于从网页中提取数据,并将这些数据存储到 Excel 文件中。我们使用了 Python 中的一些常用库,包括和openpyxl,并对它们的基本用法进行了介绍。希望本博客对你理解网络爬虫的基本原理和实现方式有所帮助!
Python爬虫实战(实战)—17获取【CSDN某一专栏】数据转为Markdown列表放入文章中
最新发布
weixin_42636075的博客
05-28 821
Python爬虫实战(实战)—17获取【CSDN某一专栏】数据转为Markdown列表放入文章中
初级爬虫的总结一
m0_54152502的博客
05-27 395
我遇到的问题:1、没有找对网页sugrec,导致connect-type没有找对,以及一些小问题2、url拼接时候出现乱码。
爬虫案例-亚马逊反爬分析-验证码突破(x-amz-captcha)
m0_61720747的博客
05-21 862
总体概览:核心主要是需要突破该网站的验证码,成功后会返回我们需要的参数x-amz-captcha,接着再去请求一个中间页(类似在后台注册一个session) 目前是有两套方案的(1、直接正面突破验证码 2、通过修改指纹来绕过验证码),本文先讲如何直接正面突破验证码,方案2后面有机会再讲 难度:三颗星(适合小白、初级跟中级学习
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值