- 博客(14)
- 收藏
- 关注
RSS订阅原创 Wireshark抓取攻击流量
演示如下漏洞的攻击过程,攻击过程中使用wireshark抓取攻击流量,定位关键字段,要求过程截图描述,演示完回答如何判断该漏洞的流量特征。
2023-12-10 19:39:15
143
1
原创 如何绕过CDN获取真实IP
CDN全称叫做,中文叫内容分发网络。其目的是通过在现有的internet中增加一层新的网络架构,将网站的内容发布到最接近用户的网络边缘,使用户可以就近取得所需的内容,提高用户访问网站的响应速度。CDN有别于镜像,因为它比镜像更智能,或者可以做这样一个比喻:CDN=更智能的镜像+缓存+流量导流。因而,CDN可以明显提高Internet网络中信息流动的效率。从技术上全面解决由于网络带宽小、用户访问量大、网点分布不均等问题,提高用户访问网站的响应速度。
2023-11-25 11:16:48
80
原创 什么是PHP反序列化漏洞
PHP反序列化漏洞是指由于PHP程序中的反序列化功能不正确地处理了不可信任的数据而导致的安全漏洞。当攻击者发送一个精心构造的序列化字符串到服务器端时,这个序列化的字符串可能会被服务器端的反序列化函数处理,并引发一些意料之外的行为,从而达到攻击的目的。函数,从而删除服务器上的所有文件。这是一个非常危险的情况,因此我们需要确保在处理不可信数据时,尽量避免使用反序列化功能。在这段代码中,攻击者可以通过构造一个特殊的序列化字符串来触发。
2023-11-24 20:03:55
70
1
原创 编写PHP代码,实现反序列化的时候魔法函数自动调用计算机
序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串转换为对象供程序使用。在PHP中序列化和反序列化对应的函数分别为serialize()和unserialize()。
2023-11-24 19:57:18
68
1
原创 网络安全涉及的各个项目
一、基线检查 密码复杂度 有效期 administrator有没有禁⽤二、等保测评 是否举办了安全意识培训 是否有应急响应预案 有没有第⼀负责⼈三、红蓝对抗 攻击 公安组织⼈员进⾏⽹络攻击演习 防守 各单位⾃⼰组织⼈员进⾏值守,防⽕墙,waf,态势感知四、渗透测试 远程:客⼾提供公⽹的资产,域名,ip,渗透测试⼈员在远程进⾏⼯作 现场:192.168.1.1/24 192.168.1.254 客⼾的资产
2023-11-24 19:39:08
67
1
原创 结合Java代码解释什么是反序列化漏洞
当程序在进行反序列化时,会自动调用一些函数,例如__wakeup(),__destruct()等函数,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。
2023-11-24 16:33:17
47
1
原创 Java继承和重写
5. 重写的方法, 可以使用 @Override 注解来显式指定. 有了这个注解能帮我们进行一些合法性校验. 例如不小心 将方法名字拼写错了 (比如写成 aet), 那么此时编译器就会发现父类中没有 aet 方法, 就会编译报错, 提示无法 构成重写。1. 子类在重写父类的方法时,一般必须与父类方法原型一致: 返回值类型、 方法名、 参数列表要完全一致。的三大特征之一,可以使得子类具有父类的属性和方法,还可以在子类中重新定义,追加属性和方法。继承是指在原有类的基础上,进行功能扩展,创建新的类型。
2023-11-24 11:50:52
79
1
原创 如何判断sql注入的流量特征
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
2023-11-21 21:15:42
105
原创 审计dvwa高难度命令执行漏洞的代码
然后我们调用了array_keys()函数,获取这个数组中所有的键名,并将结果存储到一个新的数组中。最后,我们在页面上打印出这个新的数组,可以看到它包含了原始数组中的所有键名。这段代码首先调用了php_uname()函数,获取了运行PHP的系统的详细信息,并将结果存储到了一个新的变量中。stristr是一个PHP内置函数,用于在字符串中搜索指定的子字符串,忽略大小写,并返回找到的第一个子字符串及其后面的字符串。4)如果查找的是数组,而替换的是字符串,那么替代字符串将对所有查找到的值起作用。
2023-11-21 20:23:38
62
原创 如何挖掘XSS漏洞
如:在PHP中的htmlspecialchars()、htmlentities()函 数可以将一些预定义的字符转换为HTML实体,如:小于转化为、双引号转化为"、单引号转化为&apos、与转化 为&等。●对于反射型和存储型XSS,可以在数据返回给客户端浏览器时,将敏感字符进行转义,如:将单引号进行编码替换(十进制编码'、十六进制编码'、HTML编码&apos、Unicode编码\u0027等)。用户浏览被XSS注入过的网页,浏览器就会解析这段代码,就被攻击了。●使用内容安全的CSP。
2023-11-21 19:40:15
89
原创 Pikachu漏洞平台安装(复现暴力漏洞)
点击克隆,点击zip格式下载,解压缩到虚拟机里,再将pikachu文件夹复制到phpstudy_2016/WWW文件夹下。启动phpstudy,打开浏览器进入127.0.0.1/pikachu-master。点击暴力破解,然后点击基于表单暴力破解,启动BP,输入账户和密码。发现admin和123456的状态码和长度不一样。再将BP接收到的数据包发送到intruder。修改配置文件config.inc.php。返回登录admin | 123456。然后点击payloads。随即添加用户名和密码。
2023-11-21 16:42:06
133
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人