自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(39)
  • 收藏
  • 关注

原创 sql注入补充

服务端会向将命令部分发给数据库,然后等待数据部分。将sql语句中的参数使用占位符代替。原理将命令部分和数据部分。

2024-08-26 19:41:37 142

原创 sql盲注python脚本学习 (基于bWAPP靶场)

仅仅更改sql_str。

2024-08-24 14:52:01 342

原创 python基础语法学习

字典的key为不可变数类型,所以不能使用字典作为key,所以python增加了tuple(元组)多态:在不同的子类中相同的方法可能有不同的表现形式。封装:对对象及其方法进行封装后不关心具体内容。if语句:python 以缩进区分语句块。字母下滑线开头,只能包含字母数字下划线。继承:子类可以继承父类的属性和方法。对象的性质(封装、继承、多态)

2024-08-20 14:43:30 337

原创 web安全加固

connection_control_max_connection_delay 登录最大延时,单位毫秒。| connection_control_min_connection_delay 登录最小延时。| validate_password_check_user_name 是否开启(OFF/ON)| validate_password_mixed_case_count 包含大小写字母的数量。

2024-08-08 19:52:06 814

原创 waf绕过:网络安全狗绕过

name='';//使用defun获取assert。

2024-08-07 17:49:11 1215 1

原创 DC-5靶场实战模拟

发现页脚时间随着刷新变化,可能有文件包含漏洞。查找对应插件payload进行提权。猜测传参的key为’file‘查找dc-5中的特殊文件。使用nc连接kali。

2024-08-06 21:03:44 171

原创 PTE-信息收集

以上就是我在信息收集阶段的一些学习笔记,希望对大家有所帮助。如有疑问,欢迎在评论区交流讨论。

2024-08-02 17:44:52 718

原创 XXE和逻辑漏洞

在使用DTD实例时,若使用了外部实体,并且缺少过滤,就会产生XXE(XML外部实体)漏洞。(2)对外部实体进行过滤:对输入的XML数据进行过滤,移除或替换可能引发XXE攻击的实体。现象:查询用户信息时,使用了用户输入的信息作为查询条件,导致用户可以查询到其他用户的信息。修复方式:使用session中的条件,确保用户只能查询到自己的信息。现象:在权限校验时,没有严格校验,导致低权限用户可以访问高权限资源。(1)禁用外部实体:在解析XML时,设置解析器禁止使用外部实体。二、XXE漏洞的产生及防范。

2024-08-01 21:21:40 387

原创 web安全基础学习

记录学习的原理,少有实操持续更新

2024-07-31 21:07:43 761

原创 文件包含漏洞与反序列化漏洞(学习笔记)

文件包含漏洞主要发生在PHP中,当使用文件包含函数(如include、require等)时,若未对包含的文件名进行严格限制,攻击者可能会利用这一点来包含恶意文件,从而导致敏感信息泄露或其他安全问题。因此,在实际开发中,我们需要对反序列化的数据进行严格校验。在DVWA靶场的中级难度中,我们可以通过限制http://来防御文件包含漏洞。反序列化:将序列化后的字符串恢复成原始对象。在这个例子中,我们将一个Person对象序列化成字符串,然后再反序列化成对象。如果将反序列化的参数改为用户输入的数据就会产生漏洞。

2024-07-31 17:53:41 165

原创 RCE和php文件上传

在网络安全领域,远程命令执行(RCE)和文件上传漏洞是两种常见的攻击方式。本文将带大家深入了解这两种漏洞的原理、利用方法以及如何进行有效防御。

2024-07-30 21:02:40 954

原创 深入理解CSRF与SSRF攻击原理及防御措施

本文将详细介绍CSRF(跨站请求伪造)和SSRF(服务器端请求伪造)的攻击原理,并通过实例分析如何进行攻击,最后探讨有效的防御措施。一、CSRF攻击原理及实例CSRF简介CSRF(Cross-Site Request Forgery),即跨站请求伪造,是一种常见的网络攻击手段。攻击者利用已登录用户的cookie,在用户不知情的情况下,伪造请求执行特定操作。CSRF攻击实例(1)GET类型攻击首先,我们通过抓包获取到以下请求:GET /pikachu/vul/csrf/csrfget/cs

2024-07-29 18:23:45 751

原创 OWASP top 10之XSS

dom型和反射型区别为:dom是前端document产生,反射型为后端接收产生。将恶意js代码发送给服务器后,服务器对浏览器进行会显,从而获取到想要的信息。跨站脚本,在2021年top 10漏洞中被合并为注入类漏洞。A01:失效的访问控制(越权漏洞)注入的代码会被长期存储在服务器中。后端不会接收参数,直接在前端使用。分类:反射型、存储型、DOM型。关注点论坛文章发表、商品评价。2021年top 10。beef-xss安装。

2024-07-26 17:51:36 250

原创 sql注入工具使用

proxy:代理 intruder:攻击器 repeater:中继器 decoder:解码器 comparer:比较器。对于所有Web注入类的漏洞,安装Web应用防火墙(WAF)是最有效的解决方案。它可以有效拦截SQL注入攻击,保护你的网站安全。以上就是今天的分享,希望对大家有所帮助。如有疑问,欢迎在评论区交流讨论。

2024-07-25 17:53:14 721

原创 sql注入学习与防护

在Windows系统上,MySQL数据库的名字默认是不区分大小写的。但在大多数Unix/Linux系统上,数据库的名字是区分大小写的。为了确保跨平台的兼容性,建议使用小写字母。3.对在url后添加 and 1=2 如果没有正常显示,说明有注入点。:数据库的名字可以包含字母、数字、下划线和美元符号(1.在url后添加 ’ 如果报错说明有注入点。:数据库的名字最大长度为64个字符。构造真或者假的问题对数据库进行提问。但是,名字不能以数字开头。2.对数值型注入点可以进行减法。

2024-07-24 17:37:43 720

原创 sql注入前期准备(相关函数和原理)

本文将介绍SQL注入的基本原理,并通过实例讲解SQL注入中常用的语句和特殊运算符,最后分享一些高级函数在实际攻击中的应用。

2024-07-23 17:12:08 465

原创 PHP进阶:前后端交互、cookie验证、sql与php

本文将带你快速掌握 PHP 编程中的一些关键概念和技巧。首先,我们将探讨构造方法(魔术方法),这是一种特殊函数,用于在创建对象时初始化对象属性。通过 __construct() 方法,你可以轻松地为对象属性设置默认值。接着,我们将介绍超级全局变量,这些变量在 PHP 中用于接收前端表单传递的数据。$_GET、$_POST 和 $_REQUEST 是常用的超级全局变量,用于获取 GET 和 POST 请求的参数。数据清洗是处理用户输入的重要步骤。我们将介绍 trim()、stripslashes()

2024-07-22 17:45:36 891

原创 PHP 快速入门:构建动态网站的基础

PHP,全称 Hypertext Preprocessor,是一种广泛用于创建动态网站的服务器端脚本语言。它易于学习,功能强大,能够与多种数据库系统(如 MySQL)集成,是 Web 开发者的常用工具之一。本文将带你快速了解 PHP 的基本概念和用法。

2024-07-19 17:52:31 826

原创 MySql的运用

简单介绍sql库和表的增删查改

2024-07-18 17:50:52 491 1

原创 JavaScript函数和对象

函数和对象是 JavaScript 编程中的两个基础而强大的工具。理解它们的工作原理和如何使用它们,对于成为一名高效的 JavaScript 开发者至关重要。希望本文能够帮助您更好地理解这两个概念,并在实际编程中有效地使用它们。

2024-07-17 17:45:30 327

原创 解析CSS与JavaScript的使用方法及ECMAScript语法规则

本文详细介绍了CSS和JavaScript的三种使用方式:CSS的内联样式、内嵌样式和外部样式表,以及JavaScript的元素绑定事件、内嵌脚本和外链脚本。通过示例代码,展示了每种方式的应用场景和效果,帮助读者更好地理解和掌握网页设计中的样式和交互实现技巧。·········

2024-07-16 17:40:22 1626

原创 html超文本传输协议

" id="bottom">页脚手机:账户:提供基础的web界面。

2024-07-15 17:52:34 357

原创 BGP路由协议详解:原理、邻居类型、报文、状态与部署实践

BGP路由协议详解:原理、邻居类型、报文、状态与部署实践

2024-07-13 11:42:37 164

原创 OSPF路由协议详解:原理、报文、状态、角色与区域

本文深入介绍了OSPF(Open Shortest Path First)路由协议,包括其工作原理、五种报文类型、七种状态、路由角色、区域类型以及OSPFv2和OSPFv3的LSA(链路状态广告)类型。适合网络工程师和希望深入了解OSPF协议的用户。一、OSPF简介OSPF是一种用于IP网络的链路状态路由协议,它能够高效地计算网络中的最短路径,并支持多路径负载均衡。在OSPF中,每个路由器都会维护一份全网的拓扑图,并通过这些信息计算出到达目的地的最佳路径。二、OSPF报文类型Hello报文:用于

2024-07-12 21:36:42 886

原创 网络技术综合实践:链路聚合、VLAN聚合、VRRP与浮动路由、BFD、DHCP与DHCP-relay、ACL工作原理与配置

本文详细介绍了网络技术中的链路聚合、VLAN聚合、VRRP与浮动路由、BFD、DHCP与DHCP-relay、ACL的工作原理与配置方法。通过学习这些内容,读者可以更好地理解网络技术在实际应用中的操作和配置。

2024-07-10 22:34:30 310

原创 网络交换机生成树协议(STP、RSTP、MSTP)工作流程与计时器详解

本文详细介绍了STP和RSTP的工作流程、计时器以及MSTP(Multiple Spanning Tree Protocol)的改进。通过学习这些内容,读者可以更好地理解网络交换机中生成树协议的工作原理。

2024-07-09 22:05:10 634

原创 DOS单包攻击与防御策略详解

本文详细介绍了DOS(Denial of Service)单包攻击的类型、原理以及防御策略。通过学习这些内容,读者可以更好地理解DOS攻击的原理和如何有效地进行防御。

2024-07-09 16:48:59 606

原创 堡垒机-运维审计系统:管理权限与资产授权指南

本文详细介绍了堡垒机-运维审计系统的基本概念、厂商、4A规范、用户分类以及如何进行离线安装和资产授权。通过学习这些内容,读者可以更好地理解堡垒机在运维审计中的作用和配置方法。

2024-07-08 17:46:51 296

原创 Linux下Zabbix监控系统安装与配置实战

本文详细介绍了在Linux环境下安装和配置Zabbix监控系统的过程,包括解决DNS解析问题、搭建LAMP环境、安装Zabbix主控端和被控端、以及配置中文显示等。通过学习这些内容,读者可以更好地理解Zabbix监控系统的部署和维护。

2024-07-05 15:53:19 767

原创 Linux系统管理实战:文件系统挂载、YUM源配置与LAMP环境搭建

本文详细介绍了如何在Linux系统中管理文件系统挂载、配置YUM源以及搭建LAMP(Linux, Apache, MySQL/MariaDB, PHP/Python)环境。通过学习这些内容,读者可以更好地理解Linux系统的管理方法。

2024-07-04 17:21:34 760

原创 openEuler系统管理实战:用户权限、sudo提权、systemctl服务控制与防火墙策略

本文详细介绍了如何在openEuler系统中管理用户权限、使用sudo提权、控制服务以及配置防火墙策略。通过学习这些内容,读者可以更好地理解openEuler系统的管理方法。

2024-07-03 17:51:05 577

原创 Linux系统安全实践:爆破工具、服务漏洞利用与加固措施

本文介绍了Linux系统中的爆破工具、服务漏洞利用以及安全加固措施。通过学习这些内容,用户可以更好地了解和应对Linux系统中的安全问题。一、爆破工具Hydra:一个强大的密码破解工具,支持多种协议和服务。Medeusa:类似于Hydra,用于破解密码的工具。msf:Metasploit Framework,一个强大的渗透测试框架,包含多种爆破工具。二、重要单词session:会话,通常指在攻击过程中建立的与目标系统的交互通道。Venom(毒液):Metasploit Framework中的

2024-07-02 17:38:53 612

原创 Linux命令行工具实战:文件搜索、文本处理与用户监控

本文介绍了Linux命令行工具中的一些常用命令,包括文件搜索、文本处理和用户监控。通过学习这些命令,用户可以更有效地管理和监控Linux系统。一、文件搜索find命令:用于在指定路径下搜索文件。示例:find / -name yum.conf:在根目录下搜索名为yum.conf的文件。参数:-type:指定搜索的文件类型,如f(普通文件)、d(目录)、l(符号链接)、b(块设备)。-size:指定文件大小,如+/-/=后跟文件大小(以字节为单位)。-mtime:指定文件的最后修改时间。-pe

2024-07-01 18:05:31 428

原创 Linux文件权限与ACL控制详解

本文详细介绍了Linux系统中文件属性和权限的设置与管理,包括基本权限设置、特殊权限(如SGID、SUID、Sticky位)、用户和组的权限设置、ACL访问控制列表等。适合Linux系统管理员和希望深入了解文件权限管理的用户。

2024-07-01 15:22:43 320

原创 渗透(暴力破解、泛洪)

https 端口:9392 用户名/密码:admin。使用syn包 泛洪 192.168.10.135:3389。rdesktop -u UserName 网段。hydra -l UserName -P 字典 网段 协议。

2024-06-29 10:26:13 217

原创 Linux用户与组管理详解:从创建到权限控制

本文详细介绍了Linux系统中的用户和组管理,包括用户类型、用户创建、密码修改、用户切换、权限提升、用户删除以及组的添加和删除。适合Linux系统管理员和希望深入了解用户管理的用户。在Linux系统中,用户和组的管理是系统安全管理的重要组成部分。下面我将分享关于Linux用户与组管理的一些关键知识点。

2024-06-28 17:57:44 340

原创 Linux基础命令详解:从文件操作到目录管理

本文是关于Linux基础命令的学习笔记,涵盖了文件和目录的创建、查看、复制、移动、删除等操作,以及vim的使用和通配符的运用。适合Linux初学者和需要复习基础命令的用户。

2024-06-28 15:32:56 482

原创 Kali Linux安全测试实战:用户切换、密码修改与网络扫描

本文将介绍在Kali Linux中进行用户切换、密码修改、网络扫描以及使用Metasploit框架进行安全测试的方法。通过学习,读者可以掌握Kali Linux的基本安全测试技巧。

2024-06-27 21:00:55 446

原创 OpenEuler 22.03 Server入门教程:基本命令与文件系统结构解析

本文将带领大家了解OpenEuler 22.03 Server的基本操作命令,以及文件系统结构。通过学习,新手可以快速上手OpenEuler操作系统,为后续的学习和工作打下坚实基础。

2024-06-27 17:00:23 211

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除