[CTF][Web][PHP][JavaScript]弱类型问题

最新推荐文章于 2024-05-23 14:45:00 发布
最新推荐文章于 2024-05-23 14:45:00 发布
阅读量541 收藏 2
点赞数
分类专栏: CTF 文章标签: CTF web php JavaScript 弱类型问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dadongwudi/article/details/112772006
版权
博客探讨了在CTF和Web开发中PHP和JavaScript的弱类型问题,指出这种特性可能导致安全漏洞,如身份验证错误。文章通过示例展示了数字与字符串在比较时可能产生的意外结果,以及涉及类型转换的函数如何影响结果。还提到了JavaScript中的一些类似问题,并指出JavaScript在某些情况下相对更严格。
摘要由CSDN通过智能技术生成

弱类型问题

类型转换是无法避免的问题。例如需要将GET或者是POST的参数转换为int类型,或者是两个变量不匹配的时候,PHP会自动地进行变量转换。但是PHP是一个弱类型的语言,导致在进行类型转换的时候会存在很多意想不到的问题。

如果在用于密码比对,身份验证中没有对类型进行强处理,往往会导致对比成功,身份伪造等等。

常见的弱类型对比

数字型与其对应的字符串
  • 0 == ‘0’ => true
0 与 不包含任何数字字符串
  • 0 == ‘abc’ => true
数字型与其在前缀的字符串
  • 1 == ‘1abc’ => true
数学计算运算
  • ‘1e0’==‘1e2’ => true
  • “10” == “1e1” => true
  • ‘0e10’ == ‘0e1000’ => true
  • ‘0x001’==‘1’ => true
  • md5(‘s878926199a’) == 0 => true
  • 这里是 md5(‘s878926199a’) 的值是 0e 开头 。和上面第一种一样
  • 更多0e的哈希看这里 PHP处理0e开头md5哈希字符串缺陷/bug
最低0.47元/天 解锁文章
CryptWinter
关注
专栏目录
PHP类型
ChanCherry的博客
07-23 1742
PHP类型是什么 PHP作为最受欢迎的开源脚本语言,也被称为是世界上最好的语言,越来越多的应用于Web开发领域。 PHP属于类型语言,即定义变量的时候不用声明它是什么类型。作为一个程序员,类型确实给程序员书写代码带来了很大的便利,这一便利也是PHP语言的一个特性,但是在安全领域,特性既漏洞,这些特性在代码里面经常就是漏洞最容易出现的地方。 0x00 PHP比较操作符 php中有两种比较的符号...
JavaScript类型问题
weixin_43097944的博客
12-23 614
1. 异常需要等到运行时才能发现 const obj = {} // obj.foo() setTimeout(() => { obj.foo() }, 1000000) ========================================= 2. 函数功能可能发生改变 function sum (a, b) { return a + b } console.log(sum(100, 100)) console.log(sum(100, ‘100’)) ==================
JS类型比较问题
qq_28251665的博客
07-28 787
JS在前端比较两个数值时,要考虑到类型的精度问题。例如0.2805在前台转换为类型时会变为0.2805000000001; 所以比较之前需要进行数据格式化。 parseFloat(parseFloat(sumPatout).toFixed(5))>parseFloat(parseFloat(incomeBalance).toFixed(5)) 先进行4舍5如保留5位小数再进行比较。
由一道ISCC2018-web学习php类型
hijack89的博客
05-18 1526
引言 做了很多web题有关于PHP类型,而且最近正好ISCC2018也有一道PHP类型的题,题目不难,借此题浅析一下PHP类型,也作为自己的学习笔记。 题面 php是世界上最好的语言 <html> <body> <form action="md5.php" method="post" >
CTF:web题目中的md5类型解析
欢迎来到神林的博客
04-11 2956
0x00:md5比较 md5比较,为0e开头的会被识别为科学记数法,结果均为0 payload: param1=QNKCDZO&param2=aabg7XSs 0x01:md5强比较 md5强比较,没有规定字符串如果这个时候传入的是数组不是字符串,md5()函数无法解出其数值并且不会报错,就会得到数值相等; payload: param1[]=111&param2[]=2...
ctf web解题 找flag夺旗赛概述、原理及应用.pdf
05-13
CTF Web解题比赛中,组织者通常会构建一个模拟的网络环境,并在其中故意引入多种类型Web安全漏洞。参赛者的目标是利用自身的专业知识和技术手段去发现并利用这些漏洞,最终找到隐藏在系统中的“旗帜”(flag)。...
CTF Web学习笔记
01-11
### CTF Web学习笔记知识点详解 #### 杂项部分 **1. 隐写术** 隐写术是一种将信息隐藏于其他非秘密数据之中的技术,这种技术通常用于隐蔽通信或数据保护。在CTF竞赛中,经常出现的情况是将flag隐藏在图像、音频...
CTF Web各种题目的解题姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解题22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
ctf-web
weixin_43150428的博客
11-04 2785
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
ctf-webjavascript
slenderman
07-14 1049
javascript学习 目录javascript学习一 javascript历史二 JavaScript 构成三 js的运行1:嵌入html2:独立js文件js内容:html内容:3:延迟执行4:异步加载JavaScript文件5:代码块四 js的编写1:编码2:一些规范3各种量3:变量的全局和局部js的基本数据类型javascript历史 1995 年 2 月,Netscape 公司发布 Netscape Navigator 2 浏览器,并在这个浏览器中免费提供了一个开发工具——LiveScrip
随笔:类型语言javascript中 a,b 的运算
Wang的专栏
03-24 609
下面有七个闭包小函数,用来测试 a,b 的 输出结果 测试1:(当a为true,b为false的时候,输出的是false) !function() { var a = true,b = false; console.log((a,b) +' test1'); // false test1 }(); 测试2:(当a为true,b为true的时候,输出的是true) !f...
CTF/CTF练习平台-前女友【类型
Sp4rkW的博客
08-30 1133
原题内容: http://47.93.190.246:49162/ flag格式:SKCTF{xxxxxxxxxxxxxxxxxx} 列两个我的博客: CTF/php类型总结(积累中) SHA1/MD5/URLDECODE 在php审计题中的一般思路(积累中) 利用的手段上述两个博客都有介绍,三个图记录下做题过程 ...
[CTF_网络安全] 攻防世界 simple_js 解题详析
最新发布
qingkahui24689的博客
05-23 1909
[CTF_网络安全] 攻防世界 simple_js 解题详析,该题考察Javascript代码的解读及不同数值类型的转换姿。我们下次见,
CTF常见加密方式JS
cainsoftware的博客
10-09 2345
一、密码学基本简介 密码学(在西欧语文中,源于希腊语kryptós“隐藏的”,和gráphein“书写”)是研究如何隐密地传递信息的学科。 在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。 著名的密码学者Ron Rivest解释道:“密码学是关于如何在敌人存在的环境中通讯”,自工程学的角度,这相当于密码学与纯数学的异同。 密码学是信息安全等相关议题,如认证、访问控制的核心。 密码学的首要目的是隐藏信息的涵义,并不是隐藏信息的存在。密码学也促进了计算机
CTF比赛的一道javascript
qq_32445689的博客
03-14 3367
CTF比赛中的一道javascript题,考察了很多知识。在做题的过程也很有趣,在此发表给大家
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTF-WEB小技俩
giantbranch的专栏
09-02 1万+
CTF-WEB小技俩 实验来源:合天网安实验室 预备知识       HTTP协议,报文的组成部分等,请参考http://raytaylorlin.com/Tech/web/HTTP/HTTP-message/以及简单的js脚本编写能力。
JavaScript Prototype污染攻击(CTF 例题分析)
a3320315的博客
11-03 2031
0x01 先谈谈自己的理解 function a(){} var b=new a() var c = {} a.__proto__.__proto__ == b.__proto__.__proto__ == c.__proto__ a.__proto__ != b.__proto__ != c 这个时候 b的__proto__ 指向的就是a.prototype a.prototype的_...
CTF挑战:Web安全漏洞——任意文件上传与下载实战
CTF(Capture The Flag)竞赛中,特别是在Web安全领域,"任意文件上传+任意文件下载"是一个常见的挑战,涉及到黑客技术的运用和Web应用程序的安全漏洞利用。这类题目通常要求参赛者通过精心构造的HTTP请求,上传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值