- 博客(76)
- 收藏
- 关注
RSS订阅原创 【网络安全】服务基础第一阶段——第二节:网络测试与用户
不同的用户身份拥有不同的权限,每个用户包含一个名称和一个密码,用户账户拥有唯一的安全标识Windows系统中,每个用户账户都有一个独特的安全标识符(SID,Security Identifier)它在系统内部用于控制对各种资源的访问权限。我们可以通过不同的方法查看用户的SID:1.使用命令提示符(CMD)这里的CMD就是我们常用的命令提示符(类似于终端的那个窗口),输入命令来查看当前登陆用户的SID如果需要查看特定用户的SID,可以使用命令。
2024-08-25 11:00:09
734
原创 网络安全——基础知识记忆梳理
其实,SSL是TLS的前身,现在很多浏览器都不支持SSL,但SSL的名气很大。SSL用于在网络上进行安全通信。SSL的主要目的是为了保护在网络上传输的数据的安全性、完整性和机密性。HTTPS是在HTTP协议的基础上加入SSL/TLS协议的安全协议,可以确保网站与客户端之间的通信是加密的、安全的加密:SSL/TLS协议使用对称加密和非对称加密结合的方式,保证数据在传输过程中的安全性。对称加密用于加密数据,非对称加密用于在客户端和服务器之间交换密钥。
2024-08-22 20:02:01
972
原创 【网络安全】服务基础阶段——第一节:进制转换与IP地址
例如在RAID3中,有两个存储盘和一个校验盘,如数据盘1中数据位0,1,1;数据盘2中数据为0,0,1,根据异或计算得校验盘的数据为0,1,0,此时若数据盘1或2任意一个出错丢失,可根据校验盘和另一个完好的数据盘再次异或运算找回数据。例如,ASCII码中的一个英文字符通常占用1个字节,而UTF-8编码中的一个英文字符也可能占用1个字节,但某些其他字符可能占用2个或更多字节。由于两级的IP地址不够灵活,1985年起,在IP地址中又增加了一个“子网号字段”,使两级的IP地址变为三级,这种做法叫。
2024-08-22 19:14:45
843
原创 【网络安全】本地文件包含及远程文件包含漏洞详解
开发人员将需要重复调用的函数写入一个文件,对该文件进行包含时产生的操作。这样编写代码能减少冗余,降低代码后期维护难度。保证网站整体风格统一:导航栏、底部footer栏等,把这些不会变的东西包含在一个文件中,可以保证整体效果的统一和代码量的减少。
2024-08-05 17:02:59
1026
原创 BurpSuite教程——渗透测试第一关:BP工具使用
BurpSuite的核心功能是Proxy——“代理”。代理模块主要用于拦截浏览器的http会话内容,给其他模块功能提供数据。Proxy向下又分为四个部分:Intercept、HTTP history、Websockets history、options。
2024-08-04 15:09:48
1209
原创 【靶场实操】sql-labs通关详解----第二节:前端页面相关(Less-11-Less-17)
SQL注入攻击是一种针对Web应用程序的安全漏洞,那么自然,SQL注入攻击也和前端页面息息相关,用户输入未被正确处理、动态查询的构建、前端JavaScript代码错误,等等我问题都可能造成安全威胁。在上一节,我们了解了基础的SQL注入模式,他们大多都从地址导航栏入手,直接向查询语句中注入攻击语句。本章我们来看和前端页面相关的一些SQL注入攻击。
2024-08-03 13:01:08
597
原创 【靶场实操】sql-labs通关详解----第一节:基础注入方式(Less-1~Less-10)
SQL-Labs是一个专注于SQL注入攻击的在线靶场,提供了从基础到高级的多个关卡,供学习者实践和挑战。
2024-08-01 19:03:46
873
原创 【网络安全】文件上传黑白名单及数组绕过技巧
将客户端数据以文件形式封装,通过网络协议发送到服务器端,在服务器解析数据,最终在服务端硬盘上作为真实的文件保存。
2024-07-28 15:11:54
876
原创 【网络安全】文件上传基础及过滤方式
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,导致用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这些文件可以是木马、病毒、恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做得不够安全,则会导致严重的后果。
2024-07-26 19:51:22
497
原创 SQL核心基础语法—快速入门MySQL
MySQL其实是DBMS软件系统,也就是说MySQL并不是一个数据库,这是很多人的误区。我们经常听到的Oracle,MySQL,微软SQL Server,都是DBMS软件系统,我们只是通过这些系统来管理和维护数据库而已,DBMS相当于用户和数据库之间的桥梁。目前有超过300种不同的DBMS系统,我们今天要学习的MySQL是关系型数据库,关系型数据库的数据存储模型很像Excel,用行和列组织数据。操作关系型的DBMS系统,大多数都是用SQL来管理数据,学会了SQL,就相当于学会了这些DBMS的核心。
2024-07-25 12:40:55
706
原创 SQL注入漏洞——联合查询注入与报错注入
本篇我们继续来深入SQL注入漏洞有个困扰计算机多年的问题,就是“没法总是分清数据和指令”,这就是SQL注入的本质,这就是自然语言的弊端,即使是人类有时也分不清楚,密码是“12345678”还是“2444666668888888”。再来回顾一下SQL注入是如何产生的:Web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把SQL语句带进数据库进行查询。
2024-07-23 15:12:04
729
原创 SQL注入漏洞—SQL注入简介与原理
SQL注入漏洞从1998年圣诞节大火以来长盛不衰,虽然开发人员想出各种方法对他进行围追堵截,却始终无法将其赶尽杀绝,SQL注入的根本原因就是将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再讲这些参数传递给后台的SQL服务器加以解析并执行。
2024-06-27 17:54:31
1787
原创 XSS漏洞—XSS平台搭建与打cookie
6. **避免内联事件**:避免在HTML中使用内联JavaScript事件处理器,如 `onLoad="onload('{{data}}')"` 或 `onClick="go('{{action}}')"`,因为这些容易受到XSS攻击。7. **避免拼接HTML**:前端采用拼接HTML的方法比较危险,如果可能,使用 `createElement`、`setAttribute` 等方法实现,或者采用成熟的渲染框架,如Vue或React。攻击者可能会尝试使用不同的字符编码或分隔符来绕过简单的输入验证。
2024-06-21 23:18:02
1776
原创 栈帧浅析,堆栈漏洞概述——【太原理工大学软件安全期末补充】
1. **定义**:栈溢出发生在程序的调用栈超出其分配的内存空间时。1. **定义**:堆溢出发生在程序的堆内存超出其分配的内存空间时。2. **原因**:可能由于程序中存在内存泄漏(未释放不再使用的对象),或者分配了过大的内存块,导致堆空间耗尽。4. **寄存器保存**:在某些情况下,函数调用可能会保存一些寄存器的值,以确保它们在函数执行期间不会被覆盖。2. **局部变量**:函数内部定义的局部变量,它们只在函数的作用域内可见。1. **返回地址**:函数执行完毕后,控制权返回到调用者的地方的地址。
2024-06-18 21:22:33
1347
原创 【太原理工大学】软件安全技术—书本重点梳理、带背
太原理工大学——软件系统安全期末考试,重点梳理看龙城理工上着课挂人还挺狠,是我大意了,大家加油
2024-06-13 20:52:57
4602
3
原创 【网络安全】XSS漏洞- XSS基础概述及利用
跨站脚本(Cross-site Scripting)攻击,攻击者通过网站注入点注入客户端可执行解析的payload(脚本代码),当用户访问网页时,恶意payload自动加载并执行,以达到攻击者目的(窃取cookie、恶意传播、钓鱼欺骗等)为了避免与HTML中的CSS相混淆,通常称它为XSS。
2024-06-12 10:55:23
1275
原创 【网络安全】Web安全基础 - 第二节:前置基础知识- HTTP协议,握手协议,Cookie及Session
本章节主要介绍一些基础知识 d(^_^o)
2024-06-01 19:24:36
915
1
原创 【网络安全】Web安全基础 - 第一节:使用软件及环境介绍
它旨在提供一个可实践的安全训练环境,帮助安全专业人员、Web开发者以及爱好者们测试自己的技能,学习如何识别和修复Web应用中的安全漏洞。DVWA是一个易受攻击的PHP/MySQL Web应用程序,其主要目标是帮助安全专业人员在法律允许的环境中测试他们的技能和工具,帮助Web开发人员更好的了解和保护Web应用程序的过程。LAMP是指一组常用来搭建动态网站或者服务器的开源软件,本身都是各自独立的程序,但是因为常被放在一起使用,拥有了越来越高的兼容度,共同组成了一个强大的Web应用程序平台。
2024-06-01 11:46:11
1162
原创 设计模式—23种设计模式重点 表格梳理
设计模式的核心在于提供了相关的问题的解决方案,使得人们可以更加简单方便的复用成功的设计和体系结构。按照设计模式的目的可以分为三大类。创建型模式与对象的创建有关;结构型模式处理类或对象的组合;行为型模式对类或对象怎样交互和怎样分配职责进行描述。解释器模版方法抽象工厂生成器原型单例模式适配器对象桥接组合装饰外观享元代理责任链命令迭代器中介者备忘录观察者状态策略访问者。
2024-05-24 18:20:42
967
5
原创 UML中的图-13中UML图详解
图是一组元素的图形表示,大多数情况下把图画成顶点和弧的联通图。UML提供了13种图,分别是类图、对象图、用例图、序列图、通信图、状态图、活动图、构建图、组合结构图、部署图、包图、交互概览图和计时图。序列图、通信图、交互概览图和计时图均被称为交互图。
2024-05-24 14:30:52
735
原创 软件工程——内聚性和耦合性
也就是说,模块之间传递的是数据的值,而不是数据的地址或结构。因此,数据耦合的模块之间耦合度较低,因为它们只需要理解数据的含义和作用,而不需要关心数据的具体实现。若干模块访问一个公共的数据环境(全局数据结构、共享的通信区、内存的公共覆盖区等),耦合的复杂程度随耦合模块的数量的增加而显著增加。外部耦合和公共耦合都涉及到模块对公共资源的访问,但他们在访问资源类型、模块之间的关联度以及维护的复杂性上都有所区别。耦合性由高到低分别为:内容耦合、公共耦合、外部耦合、控制耦合、标记耦合、数据耦合、非直接耦合。
2024-05-24 09:54:17
744
原创 软考中级-软件设计师-真题详解【2023年上半年】
口诀:“直、简、冒、希、堆”不费空间,且只有堆排序时间复杂度是n log2n,其他都是n^2,快速排序空间复杂度有log,归并空间复杂为n,“快、选、堆、希”不稳定。行为型模式,共十一种:策略模式、模板方法模式、观察者模式、迭代子模式、责任链模式、命令模式、备忘录模式、状态模式、访问者模式、中介者模式、解释器模式;结构型模式,共七种:适配器模式、装饰器模式、代理模式、外观模式、桥接模式、组合模式、享元模式;创建型模式,共五种:工厂方法模式、抽象工厂模式、单例模式、建造者模式、原型模式;
2024-05-21 21:04:23
1528
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人