- 博客(12)
- 收藏
- 关注
RSS订阅原创 cookie安全之HTTP -only
的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。如果cookie中设置了only属性,则JavaScript脚本将无法读取cookie信息,防止XSS攻击。在php.ini中设置 session.cookie_httponly = 其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性。
2024-04-14 18:41:48
575
1
原创 php安全之curl函数
cURL是一个用于进行各种网络请求的强大工具,但如果未正确验证和限制用户提供的URL,它也可能被用于发起SSRF攻击
2024-04-06 09:27:06
378
1
原创 代码审计之$_FILES数组
_FILES['myFile']['tmp_name'] 文件被上传后在服务端储存的临时文件名,一般是系统默认。$_FILES['myFile']['type'] 文件的 MIME 类型,需要浏览器提供该信息的支持,例如"image/gif"。$_FILES['myFile']['size'] 已上传文件的大小,单位为字节。$_FILES['myFile']['error'] 和该文件上传相关的错误代码。$_FILES['myFile']['name'] 客户端文件的原名称。
2024-04-06 08:52:02
243
1
原创 安全常用重要全局变量$_server
_SERVER['SERVER_ADMIN'] 该值指明了 Apache 服务器配置文件中的 SERVER_ADMIN 参数。$_SERVER['SERVER_NAME'] 当前运行脚本所在的服务器的主机名。$_SERVER['SERVER_SOFTWARE'] 服务器标识字符串,在响应请求时的头信息中给出。例如,"GET", "HEAD","POST","PUT"。$_SERVER['HTTP_ACCEPT_CHARSET'] 当前请求头中 Accept-Charset: 项的内容,如果存在的话。
2024-04-01 20:51:12
618
1
原创 数据结构--栈
栈的插入和删除操作一般称为入栈和出栈。maxSize为栈中最大元素的个数,则maxSize-1为栈满时栈顶元素在数组中的位置。//存放栈中元素,maxsize是已定义的最大常量。说明,栈是一种在操作上稍加限制的线性表,即栈本质上是线性表,而线性表有两种主要的存储结构——int pop(lnode *lst,int &x){//需要改变的变量要用引用型。if(st.top==maxsize-1)//这里要注意栈满不能入栈。栈满继续入栈就会上溢的状态,对应的栈下溢就是栈空时继续出栈所造成的结果。
2024-03-01 09:58:16
586
原创 XSS漏洞原理基础
在网站页面中有许多元素,当页面到达浏览器时,浏览器会为页面创建一个顶级的Document object文档对象,接着生成各个子文档对象,每个页面元素对应一个文档对象,每个文档对象包含属性、方法和事件 可以通过JS脚本对文档对象进行编辑,从而修改页面的元素 也就是说,客户端的脚本程序可以通过DOM动态修改页面内容,从客户端获取DOM 中的数据并在本地执行。随着帖子被服务器存储下来,恶意 脚本也永久地被存放在服务器的后端存储器中 当其他用户浏览这个被注入了恶意脚本的帖子时,恶意脚本会在他们的浏览器中得到执行。
2024-02-28 11:16:31
363
1
原创 广度优先搜索(BFS)
广度优先搜索的基本思想是,首先访问根节点,然后将根节点的所有相邻节点加入到队列中。然后依次从队列中取出每个节点,访问该节点,并将其未访问过的相邻节点加入到队列末尾。这样可以保证按照层级依次遍历图或树的节点,即先访问离根节点最近的节点,再访问离根节点更远的节点。该算法从根节点(或开始节点)开始,依次访问其所有相邻的节点,然后再访问这些相邻节点的相邻节点,以此类推。这意味着在同一层级上的节点会在较远层级的节点之前被访问到。从1出发1--2--3--4--5--6--7。
2024-02-28 08:31:59
582
1
原创 深度优先搜索(C语言DFS)
深度优先搜索是图的一种搜索方式,通俗地说就是"一条路走到黑",对于当前正在搜索的路径而言,只有把当前路径给搜索完了,即走到无路可走时,才返回进而搜索另一条路。visited[i]) { // 如果当前节点有相邻节点且未被访问。如 1--2--4--2--5--2--1--3--6--3--7--3--1为完整遍历。比如从1开始,可以遍历2或3,但选择一条路后必须走到黑再返回到上一个节点继续遍历。// 标记当前节点为已访问。// 递归访问相邻节点。
2024-02-26 22:36:06
640
1
原创 JavaScript绕过
此外, 也可以通过Burp Suite 抓包/改包的方式, 先将文件的扩展名修改为符合脚本要求的格式(例如. jpg、. png或者. gif),然后通过 Burp Suite抓包修改扩展名的方式绕过。在JavaScript 文件上传防护中, 由于对上传文件的检测发生在客户端, 因此是一种不安全的文件上传防护方式,攻击者可以很轻松地绕过。var errMsg = "该文件不允许上传, 请上传" + allow_ext + "类型的文件,当前文件类型为: " + ext_name;//提取上传文件的类型。
2024-02-23 09:08:41
526
原创 国内src漏洞提交平台
我是xiaosejun,下面是找到的国内部分src提交平台,希望能给大家一些帮助,感兴趣的可以关注我了解安全呦~~老虎证券 (TigerSRC)哔哩哔哩 (BILISRC)金山办公 (WPSSRC)本木医疗 (BMSRC)菜鸟网络 (CNSRC)东方财富 (EMSRC)竞技世界 (JJSRC)快手 (KwaiSRC)大疆 (DJISRC)滴滴出行 (DSRC)欢聚时代 (YSRC)货拉拉 (LLSRC)金山云 (KYSRC)斗米 (DMSRC)斗鱼 (DYSRC)法大大 (FSRC)
2024-02-19 15:39:02
763
1
原创 信息安全学习路线
信息安全与网络空间安全需要前置知识过多,对于刚学习的大学生而说,如果直接从渗透与代码审计方向学习,往往难以听懂而坚持,所以应该快速通读前置知识而不能慢慢细读,达到前置知识大体掌握,以便能够继续学习接触渗透核心知识,在学习核心知识的同时不断加固前置知识。我是xiaosejun,不断分享我的信安之路,准备走安全路的友友可以关注我。
2024-02-19 10:14:21
362
1
原创 信息安全如何入门
身为一个刚接触信息安全的学生,面对网上华而不实,乱转一篇的学习路线,我一步一步才发现,要想走上渗透道路,最快最好的方式就是学习CTF,通过CTF来慢慢理解渗透学习,也希望我的这些启示能够真正的帮助想学习信息安全就感觉找不到方向的大学生,从而促进共同学习,后续我将继续分享自己的心得体会,想了解的同学可以关注一下。
2024-02-19 09:07:33
342
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人