- 博客(5)
- 收藏
- 关注
原创 XSS漏洞-未完成
靶场环境 pikachu漏洞练习平台 xss说明 xss是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的恶意代码,当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行 xss漏洞原理 XSS攻击是在网页中嵌入客户端恶意脚本代码,这些恶意代码一般是使用JavaScript语言编写的。(JavaScript必须精通) xss漏洞分类(基础) 反射型(非持久型) 说明 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器
2021-05-20 23:02:26 203
原创 关于视频加速
看到一大堆没什么用的网课视频,我直接头麻。下面是我修改视频播放速度的两种方式1、修改JavaScript源码使用选取元素工具,选到倍速部分,具体到1.25倍数直接修改将value 的值1.25修改为你自己想要的(我网速跟不上 选个16)再点一下刚刚你修改的那个倍数(让代码生效)2、控制台直接修改(最方便)按F12打开控制台,将document.querySelector('video').playbackRate=16 输入以回车结束,就可以直接起飞...
2021-05-19 15:11:43 334
原创 sql注入
基础知识(原理,注入要素、思路等) sql注入原理 用户输入数据被sql解释器执行 sql注入三要素 未严格进行过滤 恶意修改 执行语句 常见数据库 MySQL SQL Server Oracle sql注入思路 注入漏洞查询(先要弄明白注入处数据类型) 数字型 判断方式: 数字型的最好方式就是:URL之后输入的参数为整型 常见: GET型 字符型 判断字符型的方式:
2021-05-19 11:32:23 301
原创 文件上传漏洞- upload- labs
我习惯这个地方称为代码部分漏洞。(如果不对请各位师傅指出)代码漏洞产生的原因:由于代码对我们上传文件的信息过滤不严格,我们就可以对文件上传部分进行漏洞的注入基础要求php代码审计基础javascript基础upload-labs漏洞环境搭建burp 使用未完成部分:二次渲染 条件竞争 ( 利用文件夹命名漏洞)将代码部分漏洞做一个分类一、前段代码漏洞:js过滤漏洞题目:labs-1绕过方式:2种方式进行绕过(有总结)二、后端代码漏洞:一、黑名单部分1、特殊解析后缀2、.htac
2021-05-02 10:07:22 371
原创 SQL注入——学习笔记
SQL注入三要素:未严格过滤 恶意修改 执行语句sql注入思路:1、明确注入数据库类型、权限 2、明确参数类型、提交方式1、先了解怎么判断一个网站存在注入点:利用常见的 and/or 1=1 或者and/or 1=2 来判断是否存在注入点常见的闭合符号 :’ " ') ") %) % } 也可以判断是否存在注入点基础知识基本信息收集语句(基于mysql)信息收集函数:versions() 获取版本user() 获取用户名@@versions 获取
2021-04-21 15:44:09 497
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人