太阳照耀我走四方

​ 要想搞懂这三者有什么区别，首先需要知道它们的原理。

​ SSRF全称：Server-Side Request Forgery，即服务器端请求伪造。​ 是一个由攻击者构造请求，在目标服务端执行的一个安全漏洞。攻击者可以利用该漏洞使服务器端向攻击者构造的任意域发出请求，。​ 简单来说就是利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网进行攻击。

什么是CSRF？CSRF被称为跨站请求伪造，它利用用户已登录的身份，在用户毫不知情的情况下，以用户的名义完成非法操作。跟跨站脚本攻击（XSS）相比，XSS利用的是用户对指定网站的信任，跨站请求伪造（CSRF）利用的是网站对用户（网页浏览器）的信任。

svg onload="alert(1)"> //onerror 当加载文档或图像时发生某个错误无的弹窗语句onclick="alert(1)" //鼠标单击事件onmouseover="alert(1)" //鼠标悬浮事件最后还有很多的绕过姿势，推荐博客cookie：存储本地 存活时间较长 小中型session： 会话 存储服务器 存活时间较短 大型企业使用。

文件上传漏洞是指用户通过界面上的上传功能上传了一个可执行的脚本文件，而WEB端的系统并未对其进行检测或者检测的逻辑做的不够好。

SQL注入经验方法总结

搞了半天，以为是证书的问题，或者是burp汉化版的原因，还把汉化版的burp给删除了。今天在使用burpsuite的时候，能抓到https或者http的包。但是repeater模块无法使用，而且放行包之后，会出现提示。如果想使用这里，那么需要开启相关的软件去代理一下才能使用。最后发现是socks proxy出问题了。把这里关了即可正常使用。

当我们在网页浏览器（Web browser）的地址栏中输入 URL时，Web 页面是如何呈现的在浏览器地址栏输入URL之后，信息会被送往某处，然后从某处获得的回复，内容就会显示在Web页面上。Web 页面当然不能凭空显示出来。根据 Web 浏览器地址栏中指定的URL，Web 浏览器从 Web 服务器端获取文件资源（resource）等信息，从而显示出 Web 页面。

针对dvwa靶场的 RCE漏洞 + 暴力破解的简单学习

简单的文件上传漏洞以及前端后端的简单绕过思路

sql手工简单注入拿flag

sql手工注入dvwa靶场

第一次burpsuite + sqlmap 抓包拿flag

简单的渗透工具sqlmap使用

dvwa靶场的新手搭建

title: BUUCTF zip伪加密date: 2021年8月18日 20点03分tags: BUUCTF Misccategories: BUUCTF Misc这道题我为何要单独拿出来写呢，因为我在解题的途中，发现了zip伪加密的惊天大秘密。1、没碰到这道题的时候，对伪加密的认知且听我分析到来，这道题是我在做BUUCTF Misc的时候碰到的一道题，题目提示的非常明显，直接以zip伪加密来当题目的名字。在这道题之前，我在攻防世界的Misc新手练习区也做过一道zip伪加密，且当时也是单独.

title: BUUCTF Miscdate: 2021年8月18日 17点27分tags: MISCcategories: MISC1、BUUCTF 签到题直接告诉了flag。2、BUUCTF 第二题(Stegsolve)下载附件之后，得到一个gif动图。使用Stegsolve打开。然后一张一张的向后翻，得到flag{he11ohongke}3、BUUCTF 二维码（QR Research、Ziperrllo、winhex）下载附件之后是一个zip压缩包。解压之后得到.

title: 攻防世界 MISC新手练习区date: 22021年8月17日 10点31分tags: MISCcategories: MISC1、攻防世界 this_is_flag（签到题）直接告诉了flag，签到题。2、攻防世界 pdf（pdf转word、直接复制）（1）方法一给的是一个pdf，打开之后，在图片中间能用鼠标选中字符，直接全选复制，粘贴就出来了。flag{security_through_obscurity}（2）方法二PDF转Word——免费在线pdf转换成wor.

title: 攻防世界 base64stegodate: 2021年8月16日 15点22分tags: 攻防世界categories: 攻防世界这道题也是很狡猾啊，没接触过的话，任凭怎么想，可能大概也想不到这一块去啊。但是这一题，却是让我很感兴趣，学到了一个好东西。1、zip压缩包下载附件之后，一个压缩包，解压的时候，提示有密码，自己经验不足，还真以为有密码。摸索了一番，觉得事情没那么简单，查看网上的wp。果然事情没那么简单，这个zip压缩包的密码，是一个伪加密。2、zip压缩包伪加密.

title: 攻防世界 SimpleRARdate: 2021年8月16日 09点41分tags: 攻防世界categories: 攻防世界这个题做到一半，为什么突然单独写一篇wp，因为做题的时候，对我帮助很大，所以想单独写一篇文章来记录一下。1、rar压缩包下载之后，发现是rar压缩包，准备解压的时候，我的winrar告诉我有一个图片的头被损坏。解压之后，只得到了一个txt，我肯定是不信的。这里一开始我以为是rar文件头被修改了。然后百度一波，rar文件头，rar文件头格式：52 .