- 博客(9)
- 收藏
- 关注
RSS订阅原创 暴力破解学习
clinent/server,即客户端/服务器,如ssh,ftp,mysql等等,这些服务往往需要提供一个高权限的用户,而这个高权限的用户往往可以进行执行命令的操作,如sql-server的sa,mysql的root,oracle的sys和system账号,使用这些高权限的用户能在很大程度上给开发人员带来方便,但是如果密码被破解,带来的危害也是相当大。随便找一个网站,我们来看一下他注册的时候有没有密码复杂度的要求,然后我们再根据他这个网站密码的要求来进行相对应的字典进行暴力破解.
2025-09-18 10:59:57
938
原创 CSRF漏洞学习
也叫做跨站请求伪造,也叫做点击攻击,需要靠其他的漏洞触发他,不然不能成功,主要原因就是在程序员开发的时候没有对请求进行参数比如"token"和"referer"等判断,造成攻击者可构造自己的url地址欺骗目标用户进行点击。在攻击场景中攻击者会伪造一个请求,一个链接,然后七篇用户点击,用户点击这个请求,整个攻击就会完成,这种攻击的本质和xss攻击并无关系一个用户访问a网站进行扣了一万块钱,b是一个恶意网站,用户一访问b,b就会自动让你的浏览器自动攻击a,并且扣你一万块钱Referer。
2025-09-18 10:57:54
662
原创 文件上传下载漏洞学习
任意文件下载属于中的失效的访问控制(Broken Access Control)类型漏洞。某些网站因业务需求提供文件下载或查看功能,如果没有对用户可下载文件的范围做访问控制和安全校验,攻击者可以利用这些接口下载任意服务器文件,包括敏感文件,造成信息泄露甚至系统失陷。目录穿越(Directory Traversal)是文件下载漏洞的常见伴生漏洞。攻击者通过输入../或类似编码(如%2e%2e%2f)回溯上级目录,访问本不应该被访问的文件,实现服务器文件系统任意读取。任意文件上传是最危险的漏洞之一,属于。
2025-09-18 10:52:27
897
原创 中间件漏洞学习
中间件主要漏洞类型关键修复措施IIS解析漏洞、权限配置过滤恶意文件名、上传目录无脚本权限、升级版本Apache多后缀解析、配置错误修正 httpd.conf、禁多后缀、过滤文件名Nginx解析漏洞、PHP-FPM 漏洞cgi.fix_pathinfo=0、拦回溯路径、护 9000 端口TomcatAJP、PUT 方法、War 包部署禁 AJP、禁危险方法、后台强密码WebLogic反序列化、T3 协议、文件上传打补丁、禁 T3、限控制台访问JBoss未授权访问、反序列化。
2025-09-18 10:42:43
617
原创 sql注入学习
木马四大工具:菜刀、蚁剑、哥斯拉,冰蝎和蚁剑比较好用通过在www文件下的木马文件,再用蚁剑链接内个木马文件,就可以获取整个网站的服务器,木马文件中的choper就是我们蚁剑链接的密码。
2025-09-17 20:50:47
1164
原创 前端开发入门指南:HTML5全解析
Markdown 是一种轻量级标记语言,它允许人们使用易读易写的纯文本格式编写文档。Markdown 语言在 2004 由约翰·格鲁伯(英语:John Gruber)创建。Markdown 编写的文档可以导出 HTML 、Word、图像、PDF、Epub 等多种格式的文档。Markdown 编写的文档后缀为 .md, .markdown。Markdown 能被使用来撰写电子书,如:Gitbook。当前许多网站都广泛使用 Markdown 来撰写帮助文档或是用于论坛上发表消息。
2025-09-17 20:39:34
811
原创 基础1、linux学习
在 Linux 系统中,“三剑客”通常指 grep、sed 和 awk 这三个强大的文本处理工具,它们与正则表达式紧密结合,能高效完成各种文本处理任务。grep功能概述:grep(Global Regular Expression Print)用于在文件或输入流中搜索匹配指定正则表达式的行,并将匹配的行输出。它是一个非常常用的文本搜索工具,能快速定位包含特定模式的文本。基本语法grep [选项] 正则表达式 [文件...]示例# 在 file.txt 文件中搜索包含 "hello" 的行。
2025-09-17 20:20:15
666
原创 一个简单的c语言小游戏“扫雷”
在一个循环中,检查玩家输入的坐标,并根据该坐标的情况进行相应的操作。如果玩家选择的坐标上有地雷,则游戏结束,并显示所有地雷的位置。如果玩家选择的坐标上没有地雷,则统计周围地雷的数量,并将该数量显示在棋盘上。如果玩家选择的坐标上有地雷,则游戏结束,并显示所有地雷的位置。如果玩家选择的坐标上没有地雷,则统计周围地雷的数量,并将该数量显示在棋盘上。在函数中,使用循环打印出棋盘的行和列数,并遍历棋盘数组打印每个位置上的字符。在函数中,使用循环打印出棋盘的行和列数,并遍历棋盘数组打印每个位置上的字符。
2024-02-03 17:14:49
399
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人