自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(5)
  • 收藏
  • 关注

原创 Nginx+openwaf,加nginx反向代理配置,实现防火墙功能

一、找到压缩包进行编译安装:tar -zxv -f openresty-1.15.8.1.tar.gzcd openresty-1.15.8.1./configure --with-luajit --with-http_stub_status_module --with-pcre --with-pcre-jitgmake && gmake install二、为了测试openresty是否成功安装,在nginx的配置文件加入server {location /hello {de

2021-03-23 16:34:27 1053

原创 封神台靶场,为了小芳,冲之——cookie注入

第二个靶场打开网站找一下注入点 一般在新闻这种里面点开看看先判断是否存在注入有waf尝试了很多方法绕过都没成功,/and/,aandnd,AnD等一系列都没绕过去,乌鸡鲅鱼删掉id=169 发现然后判断cookie注入在搜索框输入Javascript:alert(document.cookie=”id=”+escape(‘169’));然后弹窗了(其中 “id=” 取决URL中的id= escape中的数值也是URL中id=的值)返回刚刚的页面,把ID删除后一样能正常显示。说明服务器能

2020-10-30 09:55:54 454

原创 封神台sql注入的靶场,为了小芳,开冲

先判断是否存在注入 1=1 返回正常 1=2 返回错误所以存在SQL注入使用order by 查询该数据表的字段数量Order by 2 返回正常 order by 3返回错误 所以字段数量是2判断回显的位置Union select 1,2在 2回显 然后查询数据库名union select 1,database()得到数据库名为 maoshe查询路径union select 1,@@datadir还有查询数据库版本Union select 1,version()然后查询表名

2020-10-27 11:48:44 265 1

原创 又把最近学的XSS也整理了一下

XSS:跨站脚本,是代码注入的一种,它允许恶意用户将代码注入网页,其他用户在浏览网页时就会收到影响,xss代码执行成功后可能获得很多权限、私密网页内容、会话、cookie等。分为3种:反射型、存储型、DOM型反射型:又称为非持久型XSS,这种攻击都只有一次性。攻击方式:攻击者通过电子邮件等形式,当用户访问链接时,服务器接收目标用户的请求并进行处理,然后服务器把带有xss代码的数据发送给目标用户的浏览器,浏览器就会解析这段xss代码的脚本,触发xss漏洞。存储型:又叫做持久型XSS,攻击脚本将被永久

2020-10-21 16:07:50 208

原创 在自学sql注入,记个笔记

SQL注入漏洞的产生需要满足一下两个条件:参数用户可控:前段传给后端的参数内容是由用户可以控制的。参数带入数据库查询:传入的参数拼接到SQL语句,并且带入数据库查询。例如:select * from users where id = 1 ‘ 这不符合语法规范所以会报错。当传入ID的参数为 and 1=1时语句为 select * from users where id =1 and 1=1 因为1=1为真 而且id=1也为真,所以返回的结果与 id=1一样,当换成1=2时因为1=2不成立,所以返回

2020-10-21 15:34:50 229

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除