- 博客(13)
- 收藏
- 关注
RSS订阅原创 反序列化功能漏洞
一个xml文件加载到程序当中,就会变成一个对象,如果对象属性里面有嵌套,也会变对象。Extend Markup Language 扩展标记语言.没有预定义标签.HTML -超文本标记语言,有预定义标签.作用设计网页.反序列漏洞通常需要配合一些特性进行配合,例如反射。如果需要由用户输入,对输入数据做严格检查和限制。序列化目的:一储存的形式使自定义对象长久化。2.DTD,文档类型定义,是一个可选项.尽量不要让用户输入反序列化数据。序列化功能:将对象变成字节序列。反序列化:将字节序列变成对象。
2023-09-12 11:57:01
65
1
原创 sql注入3 Burp Suite
Burp Suite是用于攻击web应用程序的集成平台,包含了许多工具Proxy:代理器,拦截、查看、修改原始数据流Intruder:攻击器,对web应用程序进行攻击Repeater :中继器,修改、重发HTTP请求Decoder:解码器,智能解码编码的工具Comparer :对比器,信息差异比较工具第一步:proxy下面intercept is on开始拦截第二步:右键send to intruder第三步:标注关键变值第三步:选取攻击方式1.sniper 只有一个可变值的话。
2023-09-01 09:15:43
128
1
原创 SQL注入
用户(黑客)输入的参数(恶意的数据),被拼接到Sql语句中,作为sql语句的一部分被正常执行了chema库中的columns表中table_schema#这条sql语句查询的结果不为空,可以登录成功where# 返回字节长度select length('hello世界');# 返回'hello世界'中的'世界',位置从1开始//第六个开始两位select substr('hello世界',6,2);# 返回'hello世界'中的'hello'
2023-08-30 09:49:09
61
1
原创 html和php关联实例
echo '账户:',$uname,'密码:',$pwd,'';// echo '账户:',$uname,'密码:',$pwd,'';echo 'name:',$name.'正确','';echo '北京欢迎你:'.$_COOKIE['username'];die('账户只能由字母和数字组成');die('账户和密码都不能为空');die('账户和密码都不能为空');echo '这是用户管理中心页面';echo '变量不允许空,请重新设置';
2023-08-29 08:49:49
259
1
原创 web的js循环应用
流程控制3种1.for (语句1;语句2;语句3){被执行的代码块2.while(条件){需要执行的代码;3.do{需要执行的代码;}while(条件);break和continue语句break用于跳出循环continue用于结束一次循环,继续执行下一次循环1/1.函数定义function funName(形参){语句块;/2函数调用funName(实参);
2023-08-25 09:19:34
92
1
原创 CCS和js
CCS有三种方式:1.内联 2.内嵌 3.外链内联样式:style = “属性:值;属性:值”CSS常用样式属性有哪些1、布局常用样式属性•width设置元素(标签)的宽度,如:width:100px;•height设置元素(标签)的高度,如:height:200px;•background设置元素背景色或者背景图片,如:background:gold;设置元素的背景色,background:url(images/logo.png);设置元素的背景图片。
2023-08-22 17:23:26
143
1
原创 HTML元素
使用包括页眉(header)、页脚(footer)、导航(nav)和标题(h1~h6)等分区元素,来为页面内容创建明确的大纲,以便区分各个章节的内容。Web 组件是一种与 HTML 相关联的技术,简单来说,它允许开发者创建自定义元素,并如同普通的 HTML 一样使用它们。HTML 提供了许多可一起使用的元素,这些元素能用来创建一个用户可以填写并提交到网站或应用程序的表单。除了常规的多媒体内容,HTML 可以包括各种其他的内容,即使它并不容易交互。下面这些旧的 HTML 元素已被弃用,且不应再被使用。
2023-08-21 14:29:37
22
1
原创 防火墙之搭建VPN
2.进入防火墙,并配置接口 配置记得勾选ping或者其他,方便测试。1.配置基础配置,端口,防火墙配置。3.任何网段访问防火墙。
2023-08-21 08:46:45
994
1
原创 dos和ddos学习
防御:防火墙在防御扫描攻击时,会对连续发送的报文进行监测,如果发现源IP地址连续发送的报文的目的地址/端口与前一个报文不同,视为异常,并计算异常次数。DDoS(Distributed Denial of Service)攻击是指攻击者通过控制大量的僵尸主机(俗称“肉鸡”),向被攻击目标发送大量精心构造的攻击报文,造成被攻击者所在网络的链路拥塞、系统资源耗尽。随机源 泛洪。攻击:hping3 192.168.30.10-S -p 80 --rand-source --flood。
2023-08-16 17:58:16
114
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人