Web安全
ChanCherry、
信安小白,欢迎大家多多交流! CSDN大多数时候好像用来记笔记[捂脸]
个人博客:https://chancherry.github.io/
有事可以Q我3324838931
展开
-
setoolkit进行钓鱼攻击
此实验仅用于学习,禁止违法目的~~~setoolkit,即社会工程学工具集Social-Engineer Toolkit,该工具可用来产生钓鱼网站,在kali上可直接使用,github上也有,下载链接 https://github.com/trustedsec/social-engineer-toolkit/set/。下面就是本次学习的记录了。首先打开kali终端,输入setoolkit,就会...原创 2020-04-23 21:38:22 · 1627 阅读 · 2 评论 -
robots协议
晚上刷ctf时,做到一题,关于robots的,作为小白的我,丝毫不会,就查了一下。robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它 。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看...原创 2019-03-28 23:53:41 · 326 阅读 · 0 评论 -
Referer
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。Referer的作用1.防盗链我在www.google.com里有一个www.b...原创 2019-04-09 11:39:08 · 219 阅读 · 0 评论 -
Google Chrome抓包分析详解
主要讲解F12开发者工具的参数https://www.jianshu.com/p/f7a94bc5f67c?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation转载 2019-11-17 10:23:21 · 875 阅读 · 0 评论 -
你知道http请求头有哪些么?
好久没刷题了,今天竟然发现自己傻了,连http请求头都不太清楚了,凉了凉了,赶紧百度一波,然后记下来,下次不能再忘了,下面是转载大佬的文章。http请求头组成HTTP请求头提供了关于请求,响应或者其他的发送实体的信息。HTTP的头信息包括通用头、请求头、响应头和实体头四个部分。每个头域由一个域名,冒号(:)和域值三部分组成。分别来解释一下这四部分是什么意思吧! 通用头标:即可用于请求...转载 2019-11-17 09:38:42 · 883 阅读 · 0 评论 -
SQL注入
SQL注入漏洞主流的数据库SQL注入原理SQL注入攻击的本质,服务端没有过滤用户输入的恶意数据,直接把它当成SQL命令来执行了,从而影响数据库安全和平台安全。两个条件用户能够控制输入;原本程序要执行的SQL语句,拼接了用户输入的恶意数据。导致的危害造成的原因SQL注入方法...原创 2019-10-15 09:02:52 · 448 阅读 · 0 评论 -
Cookie
CookieCookie 可以翻译为“小甜品,小饼干” ,Cookie 在网络系统中几乎无 处不在,当我们浏览以前访问过的网站时,网页中可能会出现 :你好 XXX,这会让我们感觉很亲切,就好像吃了一个小甜品一样。这其实是通过访问主机中的一个文件来实现的,这个文件就是 Cookie。在 Internet 中,Cookie 实际上是指小量信息,是由 Web 服务器创建的,将信息存储在用户计算机上的...原创 2019-03-30 21:16:41 · 218 阅读 · 0 评论 -
PHP伪协议
感觉web里面还会经常遇到php伪协议的,总结一下。php支持的协议如下:file:// — 访问本地文件系统http://— 访问Http(s)网址ftp://— 访问ftp(s) urlsphp:// — 访问各个输入/输出流(I/O streams)zlib:// — 压缩流data:// — 数据(RFC 2397)glob:// — 查找匹配的文件路径模式phar:/...原创 2019-10-09 20:45:42 · 172 阅读 · 0 评论 -
Java中的序列化和反序列化
引言众所周知,类的对象会随着程序的终止而被垃圾收集器销毁。如果要在不重新创建对象的情况下调用该类,该怎么做?这就可以通过序列化将数据转换为字节流。对象序列化是一个用于将对象状态转换为字节流的过程,可以将其保存到磁盘文件中或通过网络发送到任何其他程序;从字节流创建对象的相反的过程称为反序列化。而创建的字节流是与平台无关的,在一个平台上序列化的对象可以在不同的平台上反序列化。如何使Java类可序...原创 2019-10-02 10:55:29 · 129 阅读 · 0 评论 -
X-Forwarded-For
简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项(百度百科:用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段)。如果没有XFF或者另外一种相似的技术,所有通过代理服务器的连接只会显示代理服务器的IP地址,而非连接发起的原始IP地址,这样的代理服务器实际上充当了匿名服务提供者...原创 2019-04-09 11:29:59 · 957 阅读 · 0 评论 -
XSS
XSS跨站脚本攻击(Cross Cite Scripting),它是通过对网页注入可执行代码(通常是JavaScript代码)且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击。一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,黑客可以利用xss盗取用户的cookie,有了用户的cookie,可以以用户的身份来正常访问站点。有时候还和其他...转载 2019-07-28 10:24:53 · 146 阅读 · 0 评论 -
HTTP协议
即超文本传输协议,是Web通信时使用的协议,所有WWW文件都必须遵守这个标准。HTTP基于TCP/IP通信协议来传输数据(HTML文件、图片文件、查询结果等)。HTTP工作原理HTTP协议工作于客户端/服务端(C/S)架构上,浏览器作为HTTP客户端通过URL(统一资源定位符)向HTTP服务端发送所有请求。HTTP使用URL来传输数据和建立连接。Web服务器有:Apache服务器,IIS服务...原创 2019-08-02 19:20:14 · 511 阅读 · 0 评论 -
CSRF&SSRF简析
跨站请求伪造,是一种对网站的恶意利用。XSS利用站点内地信任用户,而CSRF通过伪装来自信任用户的请求来利用受信任的网站。与XSS相比,CSRF攻击往往不大流行(因此对其防范的资源也相对较少)和难以防范,所以被认为比XSS更具危险性。一个场景,跨域发出了一个请求,可以无JavaScript参加,请求是身份认证后的。一般分为HTML CSRF,JOSN HiJacking攻击和Flash CSRF。...原创 2019-10-19 08:28:53 · 666 阅读 · 0 评论