- 博客(32)
- 收藏
- 关注
RSS订阅原创 前后端的概念简单理解
前端:由网站开发者制作的相对固定代码(事件,渲染.....),当用户访问网站时服务器先将前端代码发送到页面上,当后端的函数分配资源到用户的页面上时,需要前端的代码把这些资源解释并呈现在页面上。后端:根据一定的规则去制作的函数,使存储在服务器端的资源,数据能根据情况动态分配到前端页面上。
2023-05-05 19:59:38
212
原创 密码学之RSA算法攻击脚本
通过对不同的n进行gcd()算法,求出最大公约数,(即p)一个e,和多组的n,c。这些nc还都是一个明文m。求出P了,就能求出q,进而求出d, 解出明文m。
2023-04-20 23:14:39
494
原创 密码学之RSA算法题目
将key文件转换成txt格式,再用在线网站解析文件得到n,e。将enc文件也转换成txt文件,再写脚本。Factor N是求p*q=n。e要求要转换成16进制。CaicD是求出密钥D。
2023-04-18 21:56:40
561
原创 CSRF漏洞的防护措施
2,对HTTP请求头部REFERER字段进行验证(原理:攻击者构造的恶意链接其发送的HTTP请求的REFERER字段肯定不是服务端本身)1,HTTP请求数据包增加Token认证信息(原理:因为Token是随机且需要服务端验证通过的,所以可以避免CSRF攻击的发生)4,对于网站的密码修改等涉及重要更改的操作,设置需要输入旧密码才支持修改。3,网站的敏感信息等更改操作,增加验证手段,如增加验证码验证。
2023-04-15 16:41:41
463
原创 CSRF漏洞简单分析
标签,由于其通过CSS样式设置为隐藏,所以我们在访问过程中并没有看到实际的标签内容。由于浏览器保存了我们在留言板网站的身份标识Cookie,并在发送请求时自动将Cookie附带上,所以恶意网站就成功盗用了我们的身份,完成了一次恶意留言行为,这就是基于GET请求的CSRF攻击全过程。从代码中可以看到,恶意网站在页面中植入了一个form表单,这个表单的action设置为留言网站地址。这样,当用户访问到该恶意网站时,实际上就通过Post方法向留言板发出了一条恶意留言请求。
2023-04-15 16:39:25
46
原创 TCP协议简析及Wireshark抓包分析
当指示灯亮起的时候,它就会链接这个呼叫者,问它想要和谁通话,然后插一根电缆线将它和它的目的地址链接起来。在TCP/IP协议中,TCP协议提供可靠的链接服务,通过使用三次握手建立一个链接。下面将介绍TCP的三次握手。第一次握手建立连接时,客户端向服务器端发送SYN报文(Seq=x,SYN=1),并进入SYN_SEND状态,等待服务器确认。(1)客户端通过发送一个设置了FIN和ACK标志的TCP数据包,告诉服务器通信已经完成。(1)服务器收到了客户端的请求,向客户端回复一个确认信息(Ack=x+1)。
2023-04-14 15:29:49
362
原创 UDP协议的简单概述
UDP是User Datagram Protocol(用户数据协议)的简称,是一种无连接的协议,该协议工作在OSI模型中的第四层(传输层),处于IP协议的上一层。传输层的功能就是建立“端口到端口”的通信,UDP提供面向事务的简单的不可靠信息传送服务。UDP协议是一种无连接的协议,该协议用来支撑那些需要在计算机之间传输数据的网络应用,包括网络视频会议系统在内的众多客户/服务器模式的网络应用。3.UDP信息包的标题很短,只有8个字节,相对于TCP的20个字节信息包的额外开销很小。
2023-04-13 14:37:32
2041
原创 IP协议及数据包之Wireshark分析
首部长度:IP 的首部长度,可表示的最大十进制数值是 15。当 IP 分组的首部长度不是 4 字节的整数倍时,必须利用最后的填充字段加以填充。在点分四组表示法中,以 A、B、C、D 的形式构成 IP 地址的四组 1 和 0。IMCP协议在IP协议的下一层,在数据包大小低于1500下用ICMP协议发送,大于1500则用IPV4/6发送,会分片。在同一个局域网的计算机发送给同一个服务器的数据包的TTL是不变的,因为它们经过的路由器数量不变。源 IP 地址:发出数据报的主机的 IP 地址。
2023-04-12 16:08:35
2193
原创 图解ARP协议
(2)如果主机 PC1 在缓存中没有找到相应的条目,它将询问主机 PC2 的 MAC 地址,从而将 ARP 请求帧广播到本地网络上的所有主机。如果主机发现请求的 IP 地址与自己的 IP 地址不匹配,它将会丢弃 ARP 请求。(5)当主机 PC1 收到从主机 PC2 发来的 ARP 回复消息时,会将主机 PC2 的 IP 和 MAC地址添加的自己的 ARP 缓存表。(3)主机 PC2 确定 ARP 请求中的 IP 地址与自己的 IP 地址匹配,则将主机 PC1 的地址和 MAC 地址添加到本地缓存表。
2023-04-11 20:43:43
91
原创 XSS漏洞分析(一)
可以输入xss payload来手工检测。有preg_replace函数,则说明做了script检测,过滤掉了这些标签。若使用了大小写绕过检测,则需要使用其他事件绕过。第一种直接输入alert。
2023-03-22 20:15:10
35
原创 XSS基础(一)
script>alert(document.cookie),但是没什么实质的危害,因为该漏洞为反射型,只有访问这个页面的人才能看到在线cookie敏感信息。width="0" height="0">,观察返回状态,网页被执行,但未在留言系统界面中显示。反射型xss:修改前端的代码,使得恶意代码被前端解析,所以只在一台用户的计算机上或者实现xss漏洞的网址上展现出漏洞。最后,如果有用户访问这个你构造的网站,他的cookies就会被你的Kali截取。
2023-03-21 01:04:15
99
原创 CTF入门之Web后台
思路:抓包,得到response的包,看上面的cookie提示,再解密得到明文密码,通过明文密码构造数据包发送,得到flag。
2023-03-20 19:55:50
202
原创 HTML头部<head>
base> 标签描述了基本的链接地址/链接目标,该标签作为HTML文档中所有的链接标签的默认链接。元数据可以使用于浏览器(如何显示内容或重新加载页面),搜索引擎(关键词),或其他Web服务。META 元素通常用于指定网页的描述,关键词,文件的最后修改时间,作者,和其他元数据。meta标签提供了元数据.元数据也不显示在页面上,但会被浏览器解析。style 标签定义了HTML文档的样式文件引用地址。link 标签定义了文档与外部资源之间的关系。meta标签描述了一些基本的元数据。html的style元素。
2022-11-03 22:19:36
109
原创 网页前端开发基础之html(一)
应该将 h1 用作主标题(最重要的),其后是 h2(次重要的),再其次是 h3,以此类推。hr 标签在 HTML 页面中创建水平线,hr 元素可用于分隔内容。在不产生一个新段落的情况下进行换行(新行),使用。h1定义最大的标题,或定义最小的标题。改变了文本字体的样式和效果等。
2022-11-03 21:14:19
73
原创 python的几种简单爬虫
爬虫的本质是用户给一个网站爬虫,并设置指定的规则,然后爬虫根据指定的网站去爬取相应的信息,也可以用另一种方式访问网站,指利用代码的方式去模拟浏览器进行前后端的交互。#都是在线爬取,结果显示在命令框下,并无下载网页文件的功能。} #爬取规则,可添加爬取网页连接的数量等规则。a=input(“你输入的英文单词为:”)#通过用户输入爬取搜索引擎的指定的内容。#爬取搜狗引擎的一个特定内容。#一个名为在线百度翻译的爬虫。#爬取电影网站的爬虫。...
2022-08-09 22:17:42
179
2
原创 python的其他函数(一)
random.choice函数输出结果:the number is 6the number is 9the number is 7the number is 2the number is 6the number is 5每次运行该程序得出的结果都是随机的random.randrange模块random.random函数:在0-1之间随机生成一个数shuffle() 方法将序列的所有元素随机排序uniform() 方法将随机生成下一个实数,它在 [x, y] 范围内。运行结果:uniform(5
2022-06-12 20:20:08
63
原创 Python的基本数学函数
int(x [,base ]) 将x转换为一个整数long(x [,base ]) 将x转换为一个长整数float(x ) 将x转换到一个浮点数complex(real [,imag ]) 创建一个复数str(x ) 将对象 x 转换为字符串repr(x ) 将对象 x 转换为表达式字符串eval(str ) 用来计算在字符串中的有效Python表达式,并返回一
2022-06-12 19:44:56
981
原创 python基础之循环
python的while循环只能加入一个约束条件:输出结果:The count is: 0The count is: 1The count is: 2The count is: 3The count is: 4The count is: 5The count is: 6The count is: 7The count is: 8Python for循环可以遍历任何序列的项目,如一个列表或者一个字符串。输出结果:当前字母: P当前字母: y当前字母: t当前字母: h当前字母:
2022-06-11 18:08:23
277
原创 python的基本数据类型
字符串类型“aaaaa" “abdhdjeid” “a”整数1,12,44444小数1.22322 ,3.14159复数列表List(列表) 是 Python 中使用最频繁的数据类型。列表可以完成大多数集合类的数据结构实现。列表中元素的类型可以不相同,它支持数字,字符串甚至可以包含列表(所谓嵌套)。list = [ 'abcd', 786 , 2.23, 'aaa', 70.2 ]tinylist = [123, 'bbb']print (list)
2022-05-25 20:15:57
82
原创 PHP基础知识之数组
PHP数组:数组能够在单个变量中存储多个值$cars=array("Volvo","BMW","Toyota");在 PHP 中,array() 函数用于创建数组数值数组 - 带有数字 ID 键的数组关联数组 - 带有指定的键的数组,每个键关联一个值多维数组 - 包含一个或多个数组的数组遍历数值数组:<?php$cars=array("Volvo","BMW","Toyota");$arrlength=count($cars); for($x=0;$x<$arrleng
2022-04-04 00:37:15
156
原创 语言之循环体结构
1.for2.do…while…3.while…1.赋值,常量,数据类型…+for(约束条件+一个赋值语句+数据初始值)+{另一个赋值条件;}2.赋值,常量,数据类型…+while(约束条件){+赋值条件}3.赋值,常量,数据类型…+do{赋值条件}while(约束条件);for语句:int main(){ int sum = 0; int i; for (i = 1; i <= 50; i++) { sum += i; } print
2022-03-31 13:09:16
84
原创 kali内网渗透小技巧
基础知识点:重点:让kali和其他电脑连接在同一个内网上arpspoof:arp断网攻击1.ifconfig输入,观察自己Kali的内网IP2.查询与自己kali处于一个内网的IP:fping -asg +ip地址3.攻击任何一台属于内网的主机4.arpspoof -i eth0 -t ip地址 目标网关(可以自己计算)另外,还可以进行目标监听,知道对方在访问什么图片,网址,一切归功于arp协议的漏洞。...
2022-03-29 21:42:09
3009
4
原创 小菜狗的Web-CTF知识点(1)
Web-CTF基础解题必备的知识1.在火狐浏览器F12查看源代码,注意看隐藏的JavaScript文件,和html,base等编码,需要时要解码,并查看网络状况以判断服务器和网页状态2.robots协议Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”(Robots Exclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。创建robots.txt文件需要注意的问题:必须是txt结尾的纯文本文件;文件名所有字母必
2022-03-25 00:19:45
544
原创 C语言的运算符(轻量版)
对最近学习的内容进行了整理,图片来自菜鸟教程的@___@算术运算符关系运算符:关系运算符一般情况下作为条件,循环语句的判断条件,一般是比较数值。逻辑运算符只有0和非0为条件,也放在if,while中充当判断条件。位运算符顾名思义,位运算符就是将两个数值都化为二进制数,将二进制的0,1,分别进行逻辑的 “并,且” 判读,类似于逻辑运算符。异或运算是二进制运算的逻辑规则, 参与运算的两个值,如果两个相应位相同,则结果为0,否则为1。其中<<, >>较为特殊。
2022-03-24 12:48:24
529
原创 C语言入门条件运算符
#C语言条件运算符基础条件运算符其实就是if…else…的轻量版,会用的话就非常方便。由?,:组成if(a>b){max = a;}else{max = b;}//如果a大于b,那么最大值为a,否则为b.可以用条件运算符代替改代码:表达式1 ? 表达式2 : 表达式3(基本格式的一种)max = (a>b) ? a : b;其中?相当于if, :分隔了两个条件,自己多多理解就行。number=(a>b)?a:b;来看看这行代码相当于一个if加else,如果a>
2022-03-24 00:30:34
1006
原创 小菜狗的C语言的运算符
# C语言的运算符##赋值运算++i与i++的区别1.该语句在单独语句中没有任何区别,都是输出一个+1的值。2.赋值的区别:在i++中,都是先赋值再加1i=1;y=i++ 可以理解为i=1; y=i; i=i+1,所以结果为y=1,i=2.在++i中,先加1,后赋值i=1; y=++i可以理解为i=1; i=i+1; y=i,所以结果为y=2,i=2.`3.在条件表达式中的区别:i++的代码:#include<...
2022-03-23 22:19:29
1221
原创 C语言的基础杂碎知识
C语言的基础杂碎知识,不适合深入研究c语言的大牛看,只适合像我这种小白阅读 ^_^1.数据类型:定义一个数据时,可以使用字母和数字,若使用文字代替数字,则要对应ASCII表的十进制数字,如int a="a"/int a ="0";使用ASCII表的数据代替数字要加双引号。文字可以用数据类型表示:char a="你好";int ,short,unsigne...
2022-03-23 19:45:07
834
原创 XSS漏洞基础分析(反射型)
攻击方法:1.在自己地浏览器上发现xss漏洞,产生恶意行为2.将输入命令后的url复制3.发给其他用户,产生相同的攻击效果在网页html中,出现Javascript语句即出现xss漏洞源码分析: 低级代码:PHP代码中对xss语句没有任何过滤,可直接输入<script>alert(1234)</script>源码分析:中级代码:PHP代码中对xss语句有大小写有过滤,当xss语句为小写时,代码不能执行,所以可以将代码改为大写: <sCri..
2022-03-05 10:45:33
5006
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人