- 博客(17)
- 收藏
- 关注
RSS订阅原创 CSRF&SSRF 漏洞攻击:溯源解析与实战指南
CSRF(Cross-Site Request Forgery,跨站请求伪造),也被称为 “一键攻击”“会话劫持式伪造”。攻击者不需要窃取用户 Cookie,只需要诱导已登录用户访问恶意页面,浏览器就会自动带上目标站点的登录凭证,服务器误认为是用户本人操作,从而执行敏感行为。修改账号手机号、邮箱、密码发起转账、消费、下单等财产操作发表违规内容、删除文章管理员账号被利用:新增管理员、修改权限、写入后门CSRF 危害在于隐蔽性极强,用户无感知、无异常提示,攻击成功后往往很久才会被发现。
2026-04-06 00:11:59
646
原创 爬虫对抗实战 - ZLibrary 反爬机制分析与突破
网络爬虫的核心原理是通过程序模拟 HTTP/HTTPS 请求,获取网页数据并解析提取,广泛应用于数据采集、搜索引擎索引、数据分析等场景。保护服务器资源,避免恶意爬虫导致带宽耗尽、服务崩溃;保护核心数据版权与商业价值;防范恶意攻击、数据泄露等安全风险。二者形成持续对抗:爬虫不断优化伪装能力,反爬持续升级检测维度。ZLibrary 的反爬体系以IP 限流 + UA 检测 + JS 渲染 + 验证码为核心,层层递进;模拟人类行为 + 完善请求伪装 + 动态处理反爬触发点。
2026-04-06 00:05:48
1434
原创 SQL注入漏洞进阶篇:从盲注到WAF绕过的全面解析
布尔盲注:看页面变化猜延时盲注:看加载快慢猜DNSlog 盲注:借平台看数据二次注入:先存代码后触发堆叠注入:一次执行多条命令SQLMap:全自动工具绕 WAF:改请求、加符号、污染参数。
2026-04-02 23:45:26
542
原创 SQL注入进阶:报错型注入漏洞的原理与实战全解析
Union 注入:适合有回显的场景,步骤清晰,是最常用的进阶注入。报错注入:适合无正常回显、但有数据库报错的场景。利用未过滤的输入,拼接执行恶意 SQL。
2026-04-02 00:01:49
713
原创 SQL 注入漏洞攻击的溯源分析与实战
你可以把网站登录 / 搜索框,当成你和数据库说话的口子。正常情况:你输账号admin、密码123456→ 网站去数据库查:有没有这个人?黑客情况:不输正常账号,输一段恶意代码,比如:plaintext网站没过滤,直接把这段代码拼进 SQL 查询里跳过密码、直接登录、偷看数据、删库、改权限。一句话:SQL 注入 = 骗数据库执行非法指令。
2026-04-01 23:56:59
514
原创 弱口令与命令爆破实战
【Windows实用技巧与弱口令攻防入门】 摘要:本文首先提供两个Win11菜单改造技巧,通过注册表命令可快速切换Win10/7经典菜单风格。核心内容系统讲解弱口令安全知识:定义弱口令(如123456/admin等简单组合),分析其危害性及常见成因;详细介绍密码字典的获取与定制方法(推荐SecLists和Weakpass工具);通过BurpSuite和Hydra工具演示三种爆破场景(基础登录、验证码绕过、多协议爆破),包含具体操作命令;最后强调法律边界,提醒仅限授权测试。全文涵盖从理论到实践的完整学习路径,
2026-03-31 23:39:15
751
原创 SRC 信息收集全流程实战指南2
装 8 个浏览器插件 → 点一下出信息masscan 快扫 + nmap 精扫 → 查端口、查服务FOFA/Shodan 黑暗引擎 → 搜全网资产Python 写小脚本 → 自动批量查信息。
2026-03-31 23:28:51
588
原创 SRC 信息收集全流程实战指南1
所有操作必须在授权环境或专属靶场进行!未经授权的网络探测、扫描、攻击,都违反《网络安全法》,会承担法律责任。SRC 漏洞挖掘的前提是企业明确授权,一定要遵守法律和行业规则,别踩红线~总结一下:小白学这篇内容,核心是记住 “从企业名字→备案域名→子域名→IP / 网段→技术栈” 的收集流程,每一步都用公开合法的工具 / 平台,最终拿到企业的资产拓扑图和技术栈信息,为后续合法挖漏洞打基础。
2026-03-30 20:23:02
521
原创 零基础吃透 MySQL:小白也能懂的数据库 + 增删改查 + SQL 注入入门
MySQL = 最常用的免费数据库库 = 文件夹,表 = Excel,字段 = 列只会 4 个操作就够:增、删、改、查查询(SELECT)最重要修改 / 删除必须加 WHERE,否则全炸SQL 注入 = 用户输入 SQL 代码,骗过网站拿数据。
2026-03-30 20:17:48
249
原创 Python 入门 → 网络安全资产收集
Python 简单、强大,网安必学学会变量、判断、循环、列表、字典就够入门会用pip安装模块会用requests发请求会用OneForAll做子域名资产收集你就已经踏入网络安全实战大门了!
2026-03-29 23:37:16
493
原创 【无标题】网络安全必备:PHP 核心基础速查手册
PHP 全称:超文本预处理器(PHP: Hypertext Preprocessor),开源服务器端 Web 脚本语言。核心特点:免费开源、可混合 HTML/JS、跨平台、兼容主流服务器、强数据库支持。新手环境PHPStudy(Windows 一键集成环境,Apache/PHP/MySQL 一键启动,多版本切换)。PHP 是服务器端语言,是 Web 漏洞主要载体;超全局变量、字符串拼接、序列化 / 反序列化、函数判断;脱离 PHP 基础 = 脚本小子,懂代码原理才能实战渗透。
2026-03-29 23:27:06
405
原创 Web技术核心与安全风险(二)
HTML:就是网页的毛坯房框架,只负责搭出哪里是门、哪里是窗、哪里是墙,不管装修风格。标签:搭骨架的零件,比如用<h2>标标题、用<a>做链接,就像用砖块砌墙、用木板做门。属性:给零件加的配置,比如给门装个门牌号(id)、给窗户指定玻璃来源(src),让零件更实用。<h2>到<h6>标题:数字越小字号越大,<h1>是大招牌,<h6>是小提示牌,按级别用就行。<form>表单容器:用来收集用户填的信息,比如登录时的账号密码。
2026-02-25 15:15:07
1091
原创 Web技术核心与安全风险
⼆、Web服务器漏洞与安全防护1.Apache⽂件解析漏洞:Apache 默认⼀个⽂件可含多个以点分隔的后缀,从右往左识别后缀名,只要⽂件名中包含 .php (⽆需是最后⼀个后缀),就会当作 PHP 脚本执⾏2.Nginx 解析漏洞:nginx存在解析漏洞,攻击者可以在文件路径后添加”/.php”,Nginx 会将其当作 PHP 文件解析,如”1.jpg/.php”会被解析为 PHP 脚本。Apache漏洞。
2026-02-02 00:00:33
1279
原创 计算机网络第三节课
HTTP是客户端(比如浏览器)和服务器之间交流的通用语言,是基于TCP/IP模型的应用层协议,主要用来传输网页、图片、视频等超文本资源。URL就是我们常说的网址,它是互联网上每个资源的唯一地址,就像现实生活中的门牌号,能让浏览器准确找到服务器上的网页、图片、视频等资源。HTTP通信通过报文来传递数据,分为请求报文(客户端发给服务器)和响应报文(服务器发给客户端),两者结构类似。
2026-01-31 18:13:44
561
原创 计算机网络第二节课
本文摘要: 网络通信模型分为OSI七层理论和TCP/IP四层实践模型,后者整合了应用、传输、网络和接口层功能。传输层核心协议包括可靠的TCP(三次握手/四次挥手)和快速的UDP,但都存在安全风险:TCP易受SYN洪水攻击,UDP易遭洪水攻击。DDoS攻击通过僵尸主机发送海量请求耗尽服务器资源,主要类型有SYN/UDP/HTTP洪水攻击,防御需采用高防IP、CDN和防火墙等措施。全文重点解析了网络模型架构、传输协议特性及对应的网络安全威胁与防护方案。
2026-01-27 22:31:41
522
原创 计算机网络第一课
总结:IP地址是网络层的 “逻辑地址”,用于标识设备的 “网络位置”(网段 + 主机),是跨网段通信的定位依据(类似 “街道门牌号”); MAC地址是数据链路层的 “物理地址”,是网卡的唯一硬件标识(类似设备的 “身份证”),是同一网段内数据帧的投递标识; 交互器是工作在数据链路层的 “局域网分发器”,通过 MAC 地址表转发数据帧,实现同一网段内设备的直接通信(负责 “本地串门”); 路由器是工作在网络层的 “跨网段中转站”,通过路由表转发 IP 数据包,
2026-01-24 18:43:36
713
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人