- 博客(19)
- 收藏
- 关注
RSS订阅原创 CSRF漏洞初解
CSRF(Cross-Site Request Forgery)漏洞是一种Web应用程序安全漏洞,也被称为"One-Click Attack"或"Session Riding"。它利用了Web应用程序对用户在其他网站上已经验证过的身份的信任,通过伪装请求来执行非授权的操作可以通俗的理解为:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
2024-04-14 09:48:05
742
1
原创 XXE漏洞初解
XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互在某些情况下,攻击者可以利用 XXE 漏洞联合执行服务器端请求伪造(SSRF) 攻击,从而提高 XXE 攻击等级以破坏底层服务器或其他后端基础设施。
2024-03-29 20:32:11
895
1
原创 Xss漏洞
XSS又叫CSS(Cross Site Script)跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。
2024-03-07 00:31:50
649
1
原创 DVWA靶场全解析(新手向)
我们直接在输入栏内随便填写数据,之后使用bp进行抓包抓到包后发送到instruder模块进行爆破,由于需要同时爆破用户名和密码两个字段,所以我们选择集束炸弹模式设置好字典后开始爆破,最后根据响应头的不同得到用户名和密码。
2024-02-18 00:47:12
958
原创 PHP反序列化部分题目解析
稍加分析,我们可以知道在实现nss反序列化的同时,会触发__destruct()的魔术方法将lt的值赋给a,然后调用a中存储的函数,并将lly属性的值作为参数传递给该函数,由此我们想到把a变成system();this->lly变成ls就可以了。
2024-02-17 00:08:21
446
1
原创 php特性靶场
所以加字母传入不能使用了,但php有个特殊的字母:e,可以表示科学计数法,但是当intval()读取到e的时候就会停止,所以可以在末尾加e进行传参最终得到flag。}来检查 $num 是否包含任何字母,如果存在字母则终止程序并输出 no no no!这道题也与上一题大体上类似,区别在于新加了if(preg_match(“/[a-z]/i”, $num)){die(“no no no!
2024-02-03 22:35:12
994
1
原创 初识PHP
预定义变量:提前定义的变量,系统定义的变量,存储许多需要用到的数据(预定义变量都是数组)$_GET:获取所有表单以get方式提交的数据$_POST:post提交的数据都会保存在此$_REQUEST:get和post提交的都会保存$GLOBALS:php中所有的全局变量$_SERVER:服务器信息$_SESSION:session会话数据$_COOKIE:cookie会话数据$_ENV:环境信息$_FILES:用户上传的文件信息。
2024-02-03 20:32:35
1000
1
原创 寒假第一周培训
MySQL 是一种开源的关系型数据库管理系统(RDBMS),它是由瑞典公司MySQL AB开发的,并由Oracle公司维护和支持。MySQL 是最流行的数据库管理系统之一,被广泛应用于各种应用程序和网站的数据存储和管理。
2024-01-27 23:10:52
786
原创 uploads1-21通关
1、 首先使用vscode写一个一句话木马(<??)接着在网上找一张图片(因为本身木马不能很隐蔽的植入,所以需要对其做一些修饰)将一句话木马插入图片中(将图片格式转化为txt再在最后写一个一句话木马即可)。打开uploads,进入第一关,我们可以看到如下界面点击提示通过提示我们可以了解到只需绕过js上传文件即可,f12打开检查界面ctrl+shift+c打开选项元素找到checkfile,删除后上传预先准备好的一句话木马 ,将图片的jpg改为php形式即可上传。
2024-01-06 12:49:54
861
1
原创 第七周学习心得与体会
冯·诺依曼结构也称普林斯顿结构,是一种将程序指令存储器和数据存储器合并在一起的存储器结构。程序指令存储地址和数据存储地址指向同一个存储器的不同物理位置,因此程序指令和数据的宽度相同。1945年,冯•诺依曼联合计算机科学家们提出了计算机系统结构具体设计的报告,其遵循图灵机的设计,并且还提出用电子元件构造计算机,同时也约定了用二进制来进行计算和存储;体系结构将计算机系统具体定义为五个部分,分别是运算器,控制器,存储器,输入设备,输出设备;
2023-12-19 18:03:45
895
1
原创 第六周学习心得与体会
CentOS的镜像文件可以从进行下载打开网站后我们选择CentOS-7-x86_64-DVD-2009 .iso下载,下载好后将压缩包进行解压。
2023-12-07 00:39:09
32
原创 第三周学习心得
phps即为 PHP Sourcephps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替在网站的升级和维护过程中,通常需要对网站中的文件进行修改。此时就需要对网站整站或者其中某一页面进行备份。当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下,而该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息泄露,给服务器的安全埋下隐患。
2023-11-07 02:52:04
66
原创 第二周学习心得
Kali Linux 是一个基于 Debian 的 Linux 发行版,旨在进行高级渗透测试和安全审计。Kali Linux 包含数百种工具,适用于各种信息安全任务,如渗透测试,安全研究,计算机取证和逆向工程。Kali Linux 由公司 Offensive Security 开发,资助和维护。Offensive [əˈfensɪv] 攻击性的;Offensive Security 进攻性安全。
2023-10-31 19:25:24
63
原创 初识HTML
另:doctype 声明是不区分大小写的HTML5声明:<!DOCTYPE HTML>二、HTML标签1、头部标签**<head>**元素包含了所有的头部标签元素。在 <head>元素中你可以插入脚本(scripts), 样式文件(CSS),及各种meta信息<title>标签定义了浏览器工具栏的标题,在HTML文档中这个是必需的<base> 标签描述了基本的链接地址/链接目标,该标签作为HTML文档中所有的链接标签的默认链接**<link>**标签定义了文档与外部资源之间的关系<st
2023-10-28 23:37:37
37
原创 第一周学习心得体会
HTTP 定义了一组请求方法,以表明要对给定资源执行的操作。指示针对给定资源要执行的期望动作。虽然它们也可以是名词,但这些请求方法有时被称为HTTP 动词。每一个请求方法都实现了不同的语义,但一些共同的特征由一组共享:例如一个请求方法可以是安全的、幂等的或可缓存的。有时候,页面的数据需要根据另一个页面的数据信息才能得到所需的数据信息,传参就是能把两个不同页面的数据串联起来。get请求是最常见的请求类型,最常用于向服务器查询某些信息,必要时,可以将查询字符串参数追加到URL的末尾,以便将信息发送给服务器。
2023-10-25 20:26:50
56
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人