Web学习·贰

已于 2024-01-30 10:26:47 修改
阅读量592 收藏 12
点赞数 16
文章标签: 学习 web安全
于 2024-01-30 10:13:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yangyangynagyang/article/details/135925373
版权

常见套路类型

目录

A.查看HTML源码(JS源码)

B.查看HTTP数据包

C.修改或添加HTTP请求头

D.Web源码泄露

E.编码和加密

F.windows特性

G.PHP弱类型

H.WAF绕过

A.查看HTML源码(JS源码)
B.查看HTTP数据包
C.修改或添加HTTP请求头

        伪造来源,ip,用户代理,登录状态,用户身份识别

D.Web源码泄露

        Vim源码泄露

        备份文件泄露

                index.php.bak   www.zip   wwwroot.zip   hidocs.zip   ......

        .git源码泄露

                地址:www.xxx.com/.git/config

                工具:GitHack  dvcs-ripper

        SVN导致文件泄露

                地址:www.xxxxxx.com/.svn/entries

                工具:dvcs-ripper  Seay-Svn

E.编码和加密

        Base64多次加密(查看网站源码时末尾有一或两个‘=’ :Base64)

        摩尔斯电码

        培根密码(密文通常用ab两种字符组成)

        栅栏密码,凯撒密码

        JsFuck(由   < > + - . , [ ]   构成)

F.windows特性

        短文件名

                利用“~”字符猜测暴露短文件/文件夹名

                例如:backup-082119f75623eb7abd7bf357698ff66c.sql的长文件,其短文件是BACKUP~1.sql

        IIS解析漏洞

                绕过文件上传检测

G.PHP弱类型

        PHP包含的类型

                string   integer   array   double   boolean   object   resource  NULL

        PHP类型比较

                ‘123’==123

                ‘0x01’==1

                “==0 ==false

                NULL==false==0

                ‘abc’==0

                ‘123a’==123

                需要注意  0eXXXXX皆为0

                 题型  strcmp字符串比较,md5绕过

H.WAF绕过

        利用特性构造WAF不能命中,但是在应用程序能够执行成功的载荷,绕过防护。

        常见方法:

                大小写混合

                        形式:uNion sEleCl 1,2,3,4,5 fRoM admin

                        用于只针对小写或大写的关键字匹配技术,正则表达式匹配时大小写不敏感无法绕过

                使用编码(url编码、16进制)

                        ‘为%27   /为%2f

                使用注释

                        常见注释符号://,--,/**/,#,--+,-- -,;--a

                        /**/在构造的查询语句中插入注释规避对空格的依赖或关键字识别

                        //、#、--等用于注释后面的语句

                使用空字节、嵌套剥离、避开自定义过滤器

                

        

睡袋公爵
关注
Java web学习文档
weixin_47949485的博客
11-26 1451
Java web 一,第一章 1,tomcat的下载及配置部署 学习本章内容需要具备以下知识点 java基础知识 面向对象oop思想 java进阶 数据库 前端网页技术(html/css/js/jquery) 1,下载安装tomcat 官网:https://tomcat.apache.org/ 解压下载的压缩包 进入解压好的文件,进入bin目录下C:\apache-tomcat-9.0.37-windows-x64\apache-tomcat-9.0.37\bin 显示cmd控制台代表启动完成
2019 Web 开发者最佳学习路线
qq_43137495的博客
07-24 280
作为一名 Android 开发者,伯特毕业后一直在从事相关开发工作,平时接触最多的也是 Android 技术,但我一直在关注着大前端领域,也就是 Android/iOS + Web 前端。毕竟,大学时期使用 Html + CSS 做过静态网页,还会一点 iOS 开发,还是有一点底子的。但都好久没碰,早已生疏了。 在我看来,技术都是相通的,工作上因各司其职可以分开,但就学习而言,不应该划分界...
java web端口_学习——JavaWeb02:修改端口和web项目发布
weixin_30010987的博客
02-12 464
学习——JavaWeb02:修改端口和web项目发布壹:修改端口1. Tomcat服务器的配置,全部都需要在tomcat的安装目录下conf目录下完成:Tomcat的默认端口号是8080;找到Tomcat—>conf目录下的server.xml文件,双击打开;很容易就能看到端口号有关的代码,将之修改为你要修改的端口号(注意端口号的取值范围:1—65535)。:项目发布1....
Mybatis学习
10-19 53
一、类型别名typeAlias 1、在mapper文件中:实体作为resultType,多次书写在配置文件中,每次需要书写权限名(com.baizhi.yanxj.entity.User),代码比较繁琐。 2、类型别名配置 在mybatis-config.xml中配置:     <typeAliases>       <typeAlias type="co...
[web] WEB开发笔记
梦醒贰零壹柒
03-25 200
WEB学习笔记 HTTP 操作说明 GET:显示服务器资源 POST:创建相关资源 DELETE: 删除相关资源 PUT:更新相关资源
Java学习笔记
m0_62122789的博客
09-06 794
目录名称说明bin该路径下存放了JDK的各种工具命令。javac和java就放在这个目录。conf该路径下存放了JDK的相关配置文件。include该路径下存放了一些平台特定的头文件。jmods该路径下存放了JDK的各种模块。legal该路径下存放了JDK各模块的授权文档。lib该路径下存放了JDK工具的一些补充JAR包。project(项目、工程)module(模块)package(包)class(类)
写一些自己的WEB API浅学习
qq_45149045的博客
10-21 229
WEB API浅学习 什么是API? API是一种应用程序编程接口 给前端人员提供的一种工具 以便能完成一些网页效果和功能 WEB API是浏览器提供的操作浏览器功能和页面元素的API(BOM和DOM) API的接口很多都是方法(也就是函数) 什么是DOM DOM:文档对象模型(Document Object Model)是一些编程接口,通过DOM接口可以改变网页的内容、结构和样式 什么是DOM树? 一个页面就是一个文档 document 页面中的标签就是元素 element 网页的内容就是.
maven学习--WEB工程之HelloWrold
j_lemon的博客
04-21 261
如果有天我们湮没在人潮之中,庸碌一生,那是因为我们没有努力要活得丰盛
Eclipse 进行 web开发的环境配置
Slow_boat的博客
01-15 6468
文章目录Eclipse进行web项目编写JDK安装配置Eclipse下载安装Tomcat安装配置下载安装环境配置细节性说明Tomcat命令行输出日志乱码问题 Eclipse进行web项目编写 放假了电脑垃圾多了就给电脑重装了下系统,然后之前的环境啥的就全都木有了,正好这次要全部都重新配一遍,记录一下。如果要全部都重来的话,感觉还蛮多的,不过慢慢来,做一点就记一点,最后不知不觉就做完了,正好自己再回...
web影视网站源码分享
09-12
web影视网站源码分享】 在互联网时代,影视娱乐已经成为人们日常生活中不可或缺的一部分。Web影视网站作为线上观影的重要平台,其背后的技术实现是...对于想要深入学习Web开发的人员来说,这是一个难得的学习资料。
Web网页游戏-横向俄罗斯方块
02-28
对于学习前端的同学们来说,俄罗斯方块是一个很好的练习项目。为了方便阅读,我在代码中添加了注释。为了提高对不同浏览器的兼容性,本项目没有使用 canvas 控件,而是采用 div 元素实现。 与普通的俄罗斯方块不同的...
网络安全WEB注入漏洞(上)
qq_46246629的博客
03-30 1303
WEB漏洞-----SQL 壹.基础知识 前言 讲解各种WEB层面上的有哪些漏洞类型,具体漏洞的危害等级,以及简要的影响范围测试进行实例分析,思维导图中的漏洞也是我们将要学习到的各个知识点,其实针对漏洞的形成原理,如何发现,如何利用。 结构图 实际应用 CTF,SRC,红蓝对抗 简要说明以上漏洞危害情况 SQL注入 攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。 可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。 如果网站目录存在
IDEA创建Java Web项目
不迁怒,不贰过。小知识,大智慧。
12-04 2397
IDEA创建Java Web项目
地磁传感器(学习笔记下)
Gaorui678的博客
10-26 487
读到后的值,最终传入t_sQMC5883L定义的结构体,注意一下这里面的mag_reg数据变量,定义的时候是16位的3个元素,在读寄存器的时候,强制为8位指针变量,读6个字节。然后我们再写一个计算方位角的函数,使用磁力值计算方位角,最简单的方式,只需要一个公式。咱们接着学习笔记上来学习哈,首先,我们编写读取方位角程序,配置好传感器以后,我们就可以读取磁力值了,我们先定义一个结构体类型,用来存放磁力值以及方位角值。在主函数中,qmc5883l初始化以后,每间隔1秒钟计算1次方位角值,然后通过串口发送到终端。
Flink CDC系列之:学习理解standalone模式
zhengzaifeidelushang的博客
10-28 656
独立模式是 Flink 最简单的部署模式。本简短指南将向您展示如何下载、安装和运行 Flink 的最新稳定版本。您还将运行一个示例 Flink CDC 作业并在 Web UI 中查看它。
人工智能入门要学习多久?
最新发布
cd_farsight的博客
10-31 216
人工智能是一个快速发展的领域,新的技术和算法不断涌现。这可能需要你定期投入时间,比如每月至少花费几个小时来跟踪最新的研究和发展。如果你是计算机科学或相关专业的学生,或者对计算机科学有较深的兴趣,可能能更快地掌握。实践项目的时间可以因项目的复杂性和范围而异,通常需要几个月的时间来完成。学习人工智能所需的时间可以根据个人的学习速度、目标和深度有所不同。这通常需要几个月的时间,具体取决于个人的数学背景。:Python是进行人工智能学习的主要语言,建议从基础开始学习,这也是一个月左右的时间可以掌握。
【我的 PWN 学习手札】setcontext + ROP
Mr_Fmnwon的博客
10-28 802
setcontext的gadget能够“恢复上下文”,即设置寄存器的值。除了可以利用其执行shellcode,还可以实现ROP来getshell。本篇介绍了利用setcontext+ROP的方法,ORW地打印flag信息。
SAP ABAP开发学习——第三代增强(BADI)
m0_64077397的博客
10-31 533
打完断点,新开窗口执行VA01,自动跳进debug界面。通过REPORT工具查询。
【模型学习之路】手写+分析Transformer
wwl412095144的博客
10-29 1072
attention is all you need!
Python2.7入门教程:小白向,轻松学习编程
10. **Web开发**:基础的HTTP服务器搭建和简单的Web应用开发,如Flask或Django框架的入门。 11. **并发编程**:理解线程和进程,使用threading和multiprocessing模块。 12. **模块化编程**:了解如何编写和组织...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值