- 博客(34)
- 收藏
- 关注
RSS订阅原创 负载均衡原理
互联网早期,业务流量比较小并且业务逻辑比较简单,单台服务器便可以满足基本的需求;但随着互联网的发展,业务流量越来越大并且业务逻辑也越来越复杂,单台机器的性能问题以及单点问题凸显了出来,因此需要多台机器来进行性能的水平扩展以及避免单点故障。但是要如何将不同的用户的流量分发到不同的服务器上面呢?早期的方法是使用DNS做负载,通过给客户端解析不同的IP地址,让客户端的流量直接到达各个服务器。
2024-04-23 15:06:39
803
原创 火绒安全概述
火绒安全是一款集多种安全功能于一体的国产软件,旨在为用户提供全面的计算机保护。本页面将详细介绍火绒安全的核心功能和使用方式。动态验证 类似数据库。
2024-04-23 15:01:40
225
1
原创 centos常用命令
`firewall-cmd --zone=public --add-port=80/tcp --permanent`: 添加防火墙规则允许端口 80 的 TCP 连接。- `cp -r source_directory destination_directory`: 递归复制目录及其内容。- `mkdir directory_name`: 创建一个名为 directory_name 的新目录。- `firewall-cmd --reload`: 重新加载防火墙规则使其生效。
2024-04-22 21:24:28
617
原创 (保姆级教学)跨站请求伪造漏洞
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
2024-04-19 21:04:29
1185
原创 (保姆式教学)fiddler的安装与使用
先点击左上角的Tools-Options-HTTPS。如果你还是不放心证书是否真的安装成功了。相关的证书,如果能够正常看见。在打开的证书管理器中,点击。3.设置抓取HTTPS功能。1.fiddler的下载。证书,说明证书安装成功。以火狐为例,导入证书。
2024-04-15 21:15:23
186
原创 sql注入之时间注入
如果想要获取数据内容,可以用截取字符再进行字符对比,如果相同就进行延时。这样就能获取字符,接着再拼接就是当前库的内容。在黑盒模式下可以使用 sqlmap 对注入检测。sqlmap 支持多种数据库注入,而且支持多种注入方式。在页面中分析源码,直接获取 name 带进数据库进行查询,但是是否存在记录页面返回都一样。--technique=T 检测方法为时间注入。-u 表示检测的 url。-p 指定的检测参数。
2024-04-15 20:23:57
589
原创 linux三剑客之流编辑器sed
sed(stream editor)是Linux和Unix系统中一个非常强大的文本处理工具。它主要用于对文本数据进行过滤和转换。sed 可以在不打开文件的情况下,直接对输入流进行操作,并且可以将结果输出到标准输出或文件。
2024-04-04 19:15:05
2159
2
原创 linux三剑客之grep
在系统管理员的工作中,grep 常用于分析日志文件,以便快速定位系统错误、安全事件或性能问题。数据分析师在处理文本数据集时,可能会使用 grep 来过滤或清洗数据,例如,移除注释行或提取特定格式的数据。在教学环境中,grep 可以用来演示文本搜索和正则表达式的概念,帮助学生理解如何使用这些工具进行文本分析。数据库管理员可以使用 grep 来搜索数据库导出的日志文件,以诊断查询性能问题或查找特定的数据库事件。在配置文件的维护中,grep 可以帮助查找和修改特定的配置项,或者在多个配置文件中应用相同的更改。
2024-03-29 19:21:24
1000
原创 shell脚本 算术运算
paste命令是一个用于将多个文件的内容按列合并输出的Linux命令。您可以使用paste命令将多个文件的内容按列对齐合并输出到标准输出或指定的文件中。let 命令不需要使用反斜杠来转义特殊字符,而且更容易阅读和使用。它可以直接在Shell脚本中执行算术运算,并且支持自增、自减等操作。let 是用于执行算术运算的Shell内置命令。与 expr 类似,let 也可以用于进行数学运算和变量赋值。
2024-03-07 20:23:04
466
原创 sql注入之布尔盲注
布尔型盲注入用到的 SQL 语句 select if(1=1,1,0)。if()函数在 mysql 是判断,第一个参数表达式,如果条件成立,会显示 1,否则显示 0。1=1 表达式可以换成构造的 SQL 攻击语句。条件判断函数if是SQL时间盲注中的必用函数,可以利用if函数来根据条件来反馈不同的结果。当条件成立时,if函数返回值1,当条件不成立时,if函数返回值2.在页面中不会显示数据库信息,一般情况下只会显示对与错的内容。if([条件],[值1],[值2] )
2024-02-02 08:15:00
590
原创 sql注入之字符型注入
字符型注入就是用户在前端的输入未经过过滤或处理用户输入的字符串插入到后端数据库查询语句,后端的SQL查询语句将参数值用引号或者括号等特殊符号包裹起来,改变了原有的查询语句,从而形成字符型注入。id=1' and 1=1还是?id = 1' and 1=2都能够正常显示出页面,所以确定他是字符型注入。id = 1" and 1=2都能够正常显示出页面,所以确定他是字符型注入。id=1 and 1=1还是?id = 1 and 1=2都能够正常显示出页面,所以确定他是字符型注入。1、判断是否存在注入点。
2024-02-01 08:00:00
740
原创 sql注入之数字注入
因为 select * from users where id=1 是正确的语句 ,and 后面的 1=2 是错误的语句,所以select * from users where id=1 and 1=2 会有异常或着网页没有回显(当一个错误的语句和一个正确的语句用and连接符连接时,整体就会是错误的 )控制查询:利用注入点控制查询语句的执行,例如通过输入id=1 and 1=2来控制查询语句的执行。例如,输入id=1 and 1=1,如果返回结果与预期不符,说明存在注入漏洞。若是数字型注入,注入?
2024-01-31 15:23:03
603
原创 sql注入之union联合注入
联合查询注入是联合两个表进行注入攻击,使用关键词 union select 对两个表进行联合查询。两个表的字段数要相同,不然会出现报错。列数相同union 特性是显示两张表 我们就可以吧第一个参数变为------负--的 或者不存在的值 就行了 显示就是以第二张表为主。
2024-01-30 19:24:07
842
3
原创 文件上传漏洞
老版本的apache服务器解析漏洞,即服务器在解析文件名的时候从右往左,遇到识别不了的后缀会自动跳过,读取可以识别的后缀,如果黑客构造一个文件名为danger.asp.rar或者danger.asp.gif的危险脚本,就能绕过黑名单校验规则,且能被服务器解析为asp脚本,当访问该脚本的时候,就会执行文件的脚本程序;后端可以检查文件头的前几位字节,就可以判断是否为合法的文件类型,但是这种方式也不是完全保险的,并不能替代检查文件后缀的方式,因为黑客完全可以构造一个脚本文件,其文件头伪装成正常的上传文件类型。
2024-01-29 18:48:37
1176
原创 网络基础二 session、cookie、token
session是服务端的会话技术,当用户登录了系统,服务器端的web容器就会创建一个会话,此会话中可以保存登录用户的信息,并且也是以键值对的形式去保存的,现在大部分系统都是使用的session技术来做的鉴权(权限鉴定),即:当用户登录完了才可以访问系统中的一些页面和数据。最熟悉的应该就是记住用户名这个场景,以【考试系统】的登录功能为例,当我们登录了一次【【学之思考试系统】】,后面再去登录页面登录的时候,会发现它会帮你回填之前的用户名,这个场景就是通过cookie技术实现的。
2024-01-28 19:52:51
960
1
原创 xss跨站脚本攻击
编码:我们可以对我们的语句进行hex编码来绕过xss规则,比如<script>alert(/xss/) </script >可 以转化为:%3C%73%63%72%69%70%74%3E%61%6C%65%72%74%28%2F%78%73%73%2F%29%3C%2F%73%63%72%69%70%74%3E 都有在线工具提供。攻击者在论坛、博客、留言板中,发帖的过程中嵌入XSS攻击代码,帖子被目标服务器存储在数据库中当用户进行正常访问时,触发XSS代码。全称Document Object Modei;
2024-01-27 17:24:16
1175
原创 sql注入之into outfile语句写入一句话木马
into outfile 语句用于把表数据导出到一个文本文件中,要想mysql用户对文件进行导入导出,首先要看指定的权限目录。当secure_file_priv的值为/tmp/ ,表示限制mysqld 的导入|导出只能发生在/tmp/目录下;5)select
2024-01-26 10:18:56
1603
3
原创 sql注入之load_file()函数读取操作系统文件需要权限
程序需要通过系统API来获取文件读取权限,具体实现取决于操作系统的权限管理方式。在Linux中,可以使用chmod命令设置文件的读权限,但是如果程序运行的用户没有读取该文件的权限,则依然无法读取。load_file()函数的使用需要谨慎,因为一些恶意用户可能会利用该函数获取系统中的敏感文件,从而对系统进行攻击。在进行文件读取操作时,操作系统需要对读取该文件的程序进行权限验证。如果没有相应的权限,程序将无法读取文件,因此获取文件读取权限是进行文件读取操作的必要前提。因此,程序需要以有相应权限的用户身份运行。
2024-01-25 16:21:05
694
原创 网络协议基础
目标不可达报文: 当目标主机无法到达或无法处理某个IP数据报时,会发送目标不可达报文(type=3)给源主机,以告知源主机无法到达目标。2、ICMP报文格式 类型(type) 代码 (code) 类型 (8 0)请求 (0 0)回显应答 (表示比较正常的应答) (3 1)目标不可达(主机不可达) (11 0)超时 (传输期间生存时间为0) (3 3)目标不可达 (端口不可达) (3 2)协议不可达 类型13 14时间戳请求和应答 (5 0)重定向(网络重定向) (5 1)主机重定向。
2024-01-25 14:12:06
991
原创 sql注入
这就可以获取到用户的用户名为 root。MySQL 提供了 load_file() 函数,可以帮助用户快速读取文件,但文件的位置必须在服务器上,文件必须为绝对路径,且用户必须有 FILE 权限,文件容量也必须小于 max_allowed_packet 字节 (默认为 16MB,最大为 1GB)。4.白名单法:该方法只对部分程序有效,对一些请求内容相对固定的程序,可以制定请求内容的白名单,如:某程序接受的请求只有数字,且数字为1至100,这样可以检查程序接受的请求内容是否匹配,如果不匹配,则认为是非法请求。
2024-01-24 14:16:24
1107
原创 网安十大漏洞
软件和数据完整性故障于不能防止完整性违规的代码和基础设施有关,一个例子是应用程序依赖来自不受信任的来源、储存库和内容交付网络的插件、库或模块,不安全的CI/CD管道可能会导致未经授权的访问、恶意代码或系统受损,最后,许多应用程序现在包括自动更新功能,其中更新在没有充分完整性验证的情况下被下载并应用于以前受信任的应用程序,攻击者可能会上传自己的更新以分发并在所有安装上运行,另外一个例子是对象或数据被编码或序列化为攻击者可以看到和修改的结构,容易受到不安全的反序列化。组件拥有和应用程序相同的权限。
2024-01-23 13:32:43
1049
1
原创 linux三剑客
正则表达式 基本正则表达式( ^,s, .,[],*)元字符 Linux正则表达式是一种用于处理大量字符串的工具,它可以定义一套规则和方法来匹配特定的文本模式。正则表达式由普通字符(如字母a到z)以及特殊字符(也称为元字符)组成,用于描述如何在查找或替换字符串时匹配一个或多个字符串。Linux环境中的许多命令,如grep、sed、awk和find,都支持使用正则表达式来实现复杂的文本处理任务。 正则表达式的基本概念包括: 字符类:可以通过字符类指定一
2024-01-22 19:03:59
464
原创 雷池waf搭建
Docker需要一些必要的软件包才能正常运行,包括apt-transport-https,ca-certificates,curl,software-properties-common。你可以从GitHub上下载最新版本的Docker Compose二进制文件,然后将其复制到/usr/local/bin目录中。软件依赖: Docker 20.10.14 版本以上软件依赖: Docker Compose 2.0.0 版本以上最小化环境: 1核 CPU /1 GB 内存/5 GB 磁盘。
2024-01-21 19:19:14
1122
原创 蜜罐HFish搭建
搭建蜜罐前的准备准备两个虚拟机,然后可以通过ifconfig查看到ip即可,一个蜜罐管理端,一个蜜罐节点端。HFish是一款社区型免费蜜罐,侧重企业安全场景,从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发,为用户提供可独立操作且实用的功能,通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。
2024-01-20 20:39:47
2298
原创 python爬虫
python爬虫 爬虫分类 通用爬虫 通用网络爬虫 是搜索|擎抓取系统(BaiduGoole Yaho等)的重要组成部分,主要目的是将互联网上的网页下载到本地,形成一个互联网内容的镜像备份 通用搜索引擎(Search Engine)工作原理 通用网络爬虫 从互联网中搜集网页,采集信息,这些网页信息用于为搜索引擎建立索引以而提供支持,它决定着整个引擎系统的内容是否丰富,信息是否即 时,因此其性能的优劣直接影响着搜索
2024-01-19 19:11:58
894
1
原创 python基础
(2)、有了__init__方法,在创建实例的时候,就不能传入空的参数了,必须传入与__init__方法匹配的参数,但self不需要传,Python解释器会自己把实例变量传进去 另外,这里self就是指类本身,self.name就是Student类的属性变量,是Student类所有。故,self.name = name的意思就是把外部传来的参数name的值赋值给Student类自己的属性变量self.name。
2024-01-18 19:05:34
1068
1
原创 linux基线检查/等保2.0通用要求
对个人的身份信息、隐私信息等进行保护,防止被未经授权的访问、使用或泄露。对系统中的安全事件和操作进行记录、监控和审计的过程,以便发现和解决潜在的安全问题。对用户或设备的身份进行验证并确认其可信度的过程,以确保系统只与可信的实体进行交互。对系统资源进行访问权限的管理,确保只有经过授权的用户或设备才能访问特定的资源。通过技术手段和安全策略来防止未经授权的用户或设备对系统进行非法访问或操作。确保数据在传输或存储过程中不被篡改或损坏的安全特性。确保数据只能被授权的用户或系统访问和使用的安全特性。
2024-01-17 18:39:36
519
1
原创 shell脚本基础
加法 expr $a+$b 减法 expr $a-$b 乘法expr $a\*$b 除法 expr $a/$b 取余 expr $a%$b 赋值a=$b 相等 [ $a == $b ] 不相等 [ $a!= $b ] 需注意: 1.条件表法式需要放在方括号之间,并且要有空格。/bin/bash var=1 while(( $var < 5 ))do if(( $var>3 ))then echo"跳出循环" break fi echo"$var" var=`expr $var + 1` done。
2024-01-16 19:07:52
436
1
原创 linux基础
-size根据大小查,可以使用+(相当于大于)-(相当于小于) -user根据用户查 -perm匹配权限 -type根据类型查,d:目录;usermod 选项 参数 用户名 选项与useradd的相同 -c用户添加备注 usermod -c hh ck -d -m 可重新指定用户的家目录并自动把老的数据迁移过去 -e账户的到期时间 -g变更用户组 G变更扩展组 -L锁定用户禁止用户登录系统 -U解锁用户 -S变更解释器 -u 修改用户的UID usermod -d /var/ftp zhang1。
2024-01-15 19:25:30
454
原创 数据库第二版
多条数据,最终展示一个结果 -多行函数 - max(),min(),count()针对所有类型sum(),avg() 只针对数值型类型有效 select max(ename),min(ename),count(ename),sum(ename),avg(ename) from emp;-- 调用存储过程 call mypro01(null);
2024-01-13 19:06:39
553
原创 sql练习
13.找出每个岗位的平均薪资,要求显示平均薪资大于1500的,除MANAGER岗位之外,15.找出每个员工的薪资等级,要求显示员工名、薪资、薪资等级?12.找出每个部门平均薪资,要求显示平均薪资高于2500的?16.查询员工的上级领导,要求显示员工名和对应的领导名?14.查询每个员工所在部门名称,显示员工名和部门名?11.找出“每个部门,不同工作岗位”的最高薪资?2.按照薪资降序,取出排名在前5名的员工?18.找出每个岗位的平均工资的薪资等级?9.找出每个工作岗位的工资和?10.找出每个部门的最高薪资?
2024-01-12 21:00:00
532
原创 sql语句
完整的DQL语句:select … from … where … group by … having … order by … limit …执行顺序 5 1 2 3 4 6 71. 普通查询语句基础语法: select 字段1,字段2,字段3,… from 表名;select ename from emp;select en
2024-01-11 17:42:20
727
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人