- 博客(20)
- 收藏
- 关注
RSS订阅原创 web中CSRF的基础知识
在这个示例中,目标网站在表单中嵌入了一个名为"csrf_token"的隐藏字段,该字段包含一个随机生成的令牌。在处理修改密码请求时,目标网站会验证提交的令牌与用户会话中的令牌是否匹配,从而防止CSRF攻击。在这个示例中,恶意网页会自动向目标网站发送一个POST请求,将受害者的密码更改为攻击者设置的密码。
2023-07-15 01:08:28
165
1
原创 CTF中web方向的XSS
XSS概述:XSS是一种Web安全漏洞,它允许攻击者将恶意脚本注入到受害者的Web应用程序中,从而在用户的浏览器中执行该脚本。这种攻击可以导致各种问题,包括窃取用户登录凭据、会话劫持、网页篡改等。
2023-07-13 15:15:07
540
1
原创 CTF中web文件上传基础知识
文件上传漏洞:文件上传功能是许多Web应用程序的常见功能之一,但在实施不当的情况下,可能会导致安全漏洞。文件上传漏洞的出现可能会使攻击者能够上传恶意文件,执行远程代码,绕过访问控制等。文件类型验证:Web应用程序通常会对上传的文件类型进行验证,以确保只允许特定类型的文件上传。这种验证可以通过检查文件扩展名或内容类型(MIME类型)来实现。然而,这种验证机制往往是不可靠的,因为攻击者可以伪造文件扩展名或篡改内容类型。
2023-07-13 15:01:31
897
1
原创 CTF中web方向PHP正则表达式基础知识
正则表达式基础: 正则表达式是一种特殊的文本字符串,用于描述模式或规则。它可以用于搜索、匹配、替换和验证文本数据。/pattern/。正则表达式模式修饰符: 在斜杠之后,可以使用模式修饰符来改变正则表达式的行为。
2023-07-12 09:20:16
236
1
原创 AWD基本流程和MySQL基本知识
我今天接触到了一个非常有意思的模式: AWD (Attack With Defense,攻防兼备)模式。你需要在一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分。也就是说,攻击别人的靶机可以获取 Flag 分数时,别人会被扣分,同时你也要保护自己的主机不被别人得分,以防扣分。没接触过的同学第一次玩这种模式时,很可能都是一脸懵逼,最近我也打了一次比较简单的小型 AWD,借 NeverSec 公众号来介绍一下一般的 AWD 比赛流程和所需准备的地方。
2023-07-09 22:03:08
276
1
原创 CTF中web命令执行知识点
命令注入:命令注入是一种常见的命令执行漏洞,攻击者可以通过将恶意命令注入到应用程序中的用户输入来执行系统命令。命令执行的原理:命令执行漏洞通常发生在应用程序未正确过滤、验证或转义用户输入的情况下。输入验证与过滤:对于用户输入,应该进行必要的验证和过滤,以防止恶意输入进入命令执行函数。操作系统命令:命令执行漏洞通常发生在应用程序中执行操作系统命令的函数上。绕过技巧:在实际的命令执行漏洞利用中,可能需要使用一些技巧来绕过安全机制。操作系统特定命令:命令执行漏洞也可能与特定的操作系统相关。
2023-07-08 15:39:13
603
原创 现代密码数学基础以及现代密码基础知识(仅知识梳理,旨在理清现代密码的脉络,不涉及太多具体的密码)
离散对数问题在某些群上是易解的,但在其他群上是非常困难的,从而形成了一些重要的非对称密码算法,如Diffie-Hellman密钥交换和椭圆曲线密码。:对称密码算法中的轮函数是加密算法中的核心部分。:目前已经开发出一些特定模数下的离散对数算法,如求解大素数模数下的离散对数问题的数论算法(如Pohlig-Hellman算法和Index Calculus算法)。在理想情况下,哈希函数应该对每个不同的输入产生唯一的哈希值,但在实际应用中,由于哈希函数的输出空间有限,可能存在碰撞,即两个不同的输入具有相同的哈希值。
2023-07-06 19:34:30
699
1
原创 汇编语言中常用到的数据结构基础和IDA的基本操作
当涉及到C语言数据结构时,线性表、栈、队列和树是常见的基本数据结构。下面是关于这些数据结构的一些基本知识:数组实现的线性表示例:(以下均以C语言示范)
2023-07-05 11:10:40
704
1
原创 CTF常用到的汇编语言基础
当谈到汇编语言的基础知识时,以下是一些重要的概念和术语:汇编语言:汇编语言是一种低级别的编程语言,它使用与计算机处理器指令集相关的助记符来编写程序。它比机器语言更易于理解和编写,但仍直接与计算机硬件交互。汇编器:汇编器是一种将汇编语言代码转换为机器语言指令的工具。它将汇编语言的助记符和操作码翻译成计算机可以执行的二进制代码。寄存器:寄存器是计算机处理器内部的一种存储设备,用于存储和操作数据。汇编语言中,寄存器通常用来保存临时数据、内存地址、指针等。
2023-07-04 14:08:04
197
原创 CTF中Crypto基础知识
凯撒密码(Caesar cipher)是一种简单的替换密码,也被称为移位密码。它是由古罗马军事领袖凯撒·尤利乌斯·凯撒(Julius Caesar)在公元前1世纪使用的一种加密技术。凯撒密码的原理很简单:通过将明文中的每个字母按照一个固定的偏移量(位移量)向右(或向左)移动,来加密和解密文本。例如,如果偏移量为3,那么字母"A"将被替换为字母"D",字母"B"将被替换为字母"E",以此类推。偏移量:凯撒密码的关键是偏移量。偏移量指定了明文字母向右(或向左)移动的距离。
2023-07-03 08:53:45
1078
1
原创 CTF中MISC方向入门总结
在misc入门题目中,如果我们拿到了一张图片,根据我目前的刷题经验,总结出了以下的经验,仅供参考,欢迎各位大佬指正!
2023-07-01 01:21:37
398
原创 MISC入门中常用到的编码知识
编码和解码:编码是将二进制数据转换为 Base32 字符串的过程,而解码是将 Base32 字符串还原为原始二进制数据的过程。编码和解码:编码是将二进制数据转换为 Base16 字符串的过程,而解码是将 Base16 字符串还原为原始的二进制数据。原理:Base32 将输入数据分成一系列 5 位的组,然后将每个 5 位的组转换为相应的字符。字符表:Base32 编码使用的字符表通常是 A-Z 和 2-7。优点:Base16 编码具有广泛的应用和使用场景,它是一种简单和常见的编码方式,易于理解和实现。
2023-07-01 00:46:40
316
原创 web入门中常用到的PHP基础知识
一、数据类型1.变量1.变量的基本特性变量是储存数据的“容器”。 变量以$符号开头,$符号后面紧跟着变量的名称。 变量名只能由字母,下划线和数字组成,且变量名的首字母不能是数字,即只能由字母或者下划,并且变量名不能包含空格。 并且变量名是区分大小写的,PHP语句和PHP变量都是区分大小写的,也就是说PHP和C语言一样都是对大小写敏感的语言。 2.变量的创建PHP没有声明变量的命令,变量在第一次赋值的时候就被创建,即如果在PHP代码中有这条语句"$x=5;"(引号里面的是语句)
2023-06-29 20:14:14
32
原创 Linux操作系统下基本的命令知识
1.注意事项Linux操作系统下的命令,命令名和参数之间必须有空格,可以使用多个空格,但不能没有空格! Linux操作系统下的命令是区分大小写的,即Linux操作系统的命令对大小写敏感。 Linux操作系统下如果要查看命令的类型,需要使用“type 命令名”。2.帮助文档在Linux操作系统下如果想要查看内置命令的帮助文档,就需要使用“help 内置命令名”。 在Linux操作系统下如果想要查看外部命令的帮助文档,就需要使用“man 外部命令吗”。3.常用的Linux操作系统命令
2023-06-29 20:08:33
34
原创 Web入门中常用的HTML基础知识
HTML(Hypertext Markup Language),超文本标记语言,它被用来描述网页的内容和结构,用开始标签和结束标签包围文本内容,将标签的名字称为元素。HTML中大部分空格是无关紧要的,被忽略或折叠成一个空格。
2023-06-28 16:05:01
41
1
原创 利用HTML、CSS和Javascript编写一个非常简单的登录网页
【代码】利用HTML、CSS和Javascript编写一个非常简单的登录网页。
2023-06-27 20:35:57
424
1
原创 WEB入门中常用到的HTTP协议基础知识
URI表示了请求的资源路径。Refer 当由一个页面A跳转到另一个页面B,或通过提交表单到另一个页面时,浏览器会自动将页面A的URL放在请求B页面的Refer字段中,这个字段主要是告诉服务器这个请求是从哪里来的。由于断开连接可以由客户端或者服务器端发起,为了描述简介,用A端和B端来分别代表他们,注意,A端和B端是相对的,A端既可以是客户端,也可以是服务器端,B端同理。协议说明用于说明当前响应是基于HTTP协议的哪一个版本,通常以“HTTP/”开头,后面加协议版本号,如:“HTTP/1.1”。
2023-06-26 19:56:06
102
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人