- 博客(171)
- 收藏
- 关注
RSS订阅
原创 网络安全信息收集(总结)更新
dns域传送送、公开dns数据集、通过搜索引擎、通过网路空间搜索引擎、子域名的信息泄露包括js文件泄露和网络爬虫、在线子域名收集、子域名爆破工具。icp备案查询、dns记录查询、Whois查询包括在线网站和邮箱反查、IP反查可利用网络空间搜索引擎或者威胁情报中心。为什么要收集主域名,根据资产信息,如果给我们公司,我们就需要公司去找备案,再去找他的主域名,然后找他的子域名。信息收集分为哪几类,什么是主域名,为什么要收集主域名,为什么要收集子域名,什么时候收集web信息,
2025-01-17 23:11:52
545
原创 逻辑漏洞整理
(漏洞的前提是有危害,举例说验证码不失效造成账号密码可爆破,有爆破成功的可能)一个密码找回就这么多思路,乌云nb,乌云镜像站,学的是思路,时间久了没关系,我觉得图形化的分类更好看,内容来自网络整合,侵权联系删。//文章丰富,现在又重新看看。
2024-11-18 12:03:10
847
原创 xss-labs靶场基础8-10关(记录学习)
由于,input标签本身就是用来输入的,所以他也就是要有输入框的,如果没有输入框,那就是相当于浏览器并不会执行input标签的语句,也就是并不会输出在前端,如果没有输出,那么漏洞本身也就不存在了,也就是说必须要前端页面显示了那个输入框,才会正常弹窗,如果是hidden属性,隐藏了那个框,就算xss攻击语句正确,也不能进行弹窗。但是xss如果在burp上完成,方便理解是服务器过滤了,还是web本身前端过滤了,但是前端过滤了,好像就进不了后端了,所以的话,一般都是后端过滤,进入靶场页面,一个输入点都没有?
2025-05-13 22:30:52
736
原创 小迪安全第8-9课(加解密)
若是浏览器自带的加密算法,需要网上搜索js逆向,重新构造加密函数,将字典转换为流量的加密形式。如网站数据,如果是aes加密形式,然后通过程序源码进行解密,乱输的话,秘钥就坏了,就不能解出正确的形式。解释:如果是用公钥加密的,已知密文,就只要知道私钥就能解密密文,如果得到公钥是解不出来的。然后用php代码写的话,就先写出来他的完整的加密方式,在得知盐的情况下,去爆破他的密码。admin/123456,加密形式为md5直接加密,md5(123456)数据写入时,先调程序源码加密,然后写到数据库里面。
2025-05-13 07:41:08
530
原创 网络基础入门第6-7集(抓包技术)
注意用burp抓模拟器的数据包,需要将ip地址设置为本地的ip地址,而不是127.0.0.1的地址,同理模拟器也是一样。3、逆向 代码和产品的设计逻辑安全(不规范的加密 可以选择绕过的策略 自己删除验证重打包绕过验证等)抓微信小程序,先用茶杯抓小程序的包,然后转发到burp(我一般用全局抓包)用proxifier抓,先看腾讯会议的进程是多少,只抓腾讯会议的。tcp协议、udp协议、http/s协议之间的关系。封包监听工具(抓进程,抓tcp,udp)抓包得到应用的资产信息、ip 域名等。
2025-05-08 18:42:05
139
原创 xss-lab靶场基础详解第1~3关
input value=' ' onfocus='alert(xss)'> //这是错误的xss语句,因为xss没加双引号,但是我还是 用这个通关了,我加了双引号,但是按理来说,他将双引号实体化编码之后,应该不识别 双引号才对啊,看了答案才知道他有两个输出,就是说我输入了一个,他返回了两个,第一个是被实体化了,但是第二个没有被实体化,但是被双引号括起来的,就是当做文本处理了,这发现,他的闭合方式是单引号,而不是前端审查元素那个双引号!
2025-05-02 00:24:18
951
原创 安全学习基础入门5集
管道符:|(管道符号,依次执行命令) ||(逻辑或,前一条命令执行错误,执行后一条) &&(逻辑与,两条命令都正确,才执行) &(后台任务符号,在windows是连接符号,在linux是会一直执行&前面的命令,除非用ps看进程,然后kill杀掉)linux可以执行,ping `whoami`+带外ip,就会执行whoami的结果,顺便将结果带回来了,带 给了dnslog。pwd=hhrb 提取码: hhrb。相当于是入站严格,出站宽松的原理(我们设置了出站严格,那么本身入站也是严格的)
2025-05-01 14:36:32
1180
原创 简单c语言编程
这样会先判断前面 80 <=score 为真,返回1。1 <= 100, 然后整个等式成立,输入第一个语句。简单编程,却有好多错误,明明前面才遇到。注意的地方是if里面的条件不能写成这样。1、输入成绩,然后显示等级a,b,c。2、打印矩阵,然后输出对角线之和。
2025-03-25 21:05:05
175
原创 编程从键盘输入一个大写英文字符,将其转换为小写字符显示并显示出它的十进制,十六的 ASCI码。
出现了这个错误,就是有两个字符,有一个字符,还有一个\n,所以需要清空缓存区。本来想判断不是大写,就让用户重新输入的, 我记得比特老师讲过,要不嗯。本来想写高级一点,奈何.,.......judge 不等于0就为真,就继续执行。好了,加了一个判断条件。加一个清空缓存区的操作。
2025-03-24 20:52:09
134
原创 xss漏洞基础知识【整理】
就是说需要向服务器输入xss语句,同时服务器也需要返回数据,直接返回给浏览器了,然后浏览器直接执行了xss的payload。根据前面学过的知识,大概了解了xss的触发条件为,由于浏览器执行了含有xss的payload的恶意的代码,很常见的一种就是有输入框的地方,然后参数会在url参数上,传给浏览器,其他的情形,就是输入的参数在bp的是例如content字段,或者是。为:需要有输入和输出(小迪讲的),什么意思?看不到后端防护的代码规则,不好进行过滤。型xss,这种也是有可能的。前端防护和后端防护,
2025-03-20 22:33:26
105
1
原创 c语言 逆序存放并输出的题【基础】
第一种,通过方式值修改,如果我没记错的话,数组实际就是地址,然后就是可以直接修改,但是,我想到了,这个方式和指针的方式不都是一样的吗,或者说这个不就是指针吗?所以就算是在函数里,他也是直接通过地址,然后去寻找值去修改。但是ai给我答案,我下面这种写法是不可取的,两种方式,通过值修改,通过指针变量修改。第二种写法,利用指针的形式,好像做过这种题目,再做一遍。题目:逆序存放并输出的题。
2025-03-20 22:19:41
240
1
原创 xss漏洞挖掘整理
就是说需要向服务器输入xss语句,同时服务器也需要返回数据,直接返回给浏览器了,然后浏览器直接执行了xss的payload。根据前面学过的知识,大概了解了xss的触发条件为,由于浏览器执行了含有xss的payload的恶意的代码,其他的情形,就是输入的参数在bp的是例如content字段,或者是post型xss,这种也是有可能的。很常见的一种就是有输入框的地方,然后参数会在url参数上,传给浏览器,找到xss的前提条件为:需要有输入和输出(小迪讲的),什么意思?看不到后端防护的代码规则,不好进行过滤。
2025-03-19 18:00:48
255
原创 每天看一篇漏洞报告
是否返回错误 javascript的整个协议内容是否都被过滤掉,还是只过滤了javascript字符 尝试下大小写转换。但是我发现浏览器好像也不解析这个,就是不会转换成尖括号,编码了,那就是浏览器就不能将<>号里,当成js代码去执行了,今天看到一篇文章,里面详细说了xss的绕过技巧,虽然时间久了,没有去尝试,待会有时间去测试一下。3、当<script>标签被过滤,尝试使用<a>标签尝试。2、尝试其他开放标签,然后查看响应包,看是否会被过滤。标签过滤掉,可以尝试双写,看是否可以绕过。1、尝试大小写绕过,
2025-03-18 23:28:54
331
原创 辗转相减法求两个正整数 m和n的最大公约数。
我m-n==0,这个意思是m-n==0循环才继续,很抽象了,这个是我之前写的。这是我写的,这个就是没有,就是我改了while循环条件。2、用辗转相减法求两个正整数 m和n的最大公约数。每天坚持写一篇c语言程序。c语言题目,来自以下视频。
2025-03-11 20:39:36
210
原创 指针和地址理解(简单总结)
然后就是地址的存储空间和变量的类型是不影响的(例如和int是没有关系的,和double也没关系)然后32位的电脑,他的地址是2的32位,也就是需要占4个字节,为啥勒?地址需要存储4个字节,double存储要8个字节,这两个是没有关系的。指针变量是变量,然后口头上说指针变量是指针,指针就是地址。感觉没必要写,嗯,算了做个记录吧。4个字节不就是占了32个比特位,存储的内存单元最小是一个比特,因为一个字节占了8个比特位,所以地址存储的空间为4个字节。
2025-03-04 19:36:50
177
原创 【C语言初阶】操作符_作业详解的一些疑问
疑惑的地方:对c语言的那个,\n不是特别了解,就是输入了一个字符,后面接一个\n,所以对这个具体了解为啥会输入*号
2025-03-03 20:35:58
867
原创 c语言题目
1个整数,它加上 100 后是一个完全平方数,再加上 168 又是一个完全平方数,求 10000 以内满足条件的数。4、判断一个五位数是否是回文数,12321是回文数,万位和个位相同,千位和十位相同。有 1、2、3、4个数字,能组成多少个互不相同且无重复数字的三位数?long int 取不到小数,也就是说,他不能存储类似根号101。也就是说被开方出来是整数才能被存储,对对对‘了。b站视频,链接为以下地址(专升本编程题)
2025-03-02 21:14:47
228
原创 关于Visual Studio 2022的安装之后的问题
我将之前的文件导入到visual,就变成这样了,不能开始调试。参考一篇就可以了,但是我想说的是,以前我是用的dev c++,然后。成功运行,ctrl+f5是运行,f5是调试,因为还会闪一下。经过我同学的发现,原来是不支持dev c++的编译环境。需要重新创建文件,重新编译才可以。安装过程,网上许多的步骤。
2025-02-27 15:10:31
302
原创 冒泡排序c语言数组(初阶数组)
数组溢出,也在字符串就是后面会自己加 \0,但是现在因为输入了10个字符串,就是不能输入\0,字符的话,就是大括号,他是自动加\0,就是加了10个字符,后面还是会有\0的。type_t就是数组的元素类型,const_n是一个。c99标准之前的,数组的大小必须是常量或常量表达式。c99之后可以是变量,,为了支持变长数组。就是数组的下标,从0开始计算的。算法核心,相邻的两个数进行排序。可以打印数组的每个元素的地址。数组是一组相同元素的集合,表达式,用来指定数组的大小。对应c语言视频54集。
2025-02-25 23:55:03
245
原创 【c语言初阶】函数_递归和迭代
很奇怪,就是主函数里的for循环里的变量,出了作用域还没有失效,就是出了for循环,他还将值带出来了,难道我对作用域了解的还是不够清楚,在去了解一下。这里需要考虑的是,就是自定义函数定义的count,如果要打印的话,这个就需要是全局变量,但是放到主函数,自定义函数又找不到,所以就放到了最上面。就是求数列,不晓得,麻烦,就是猜解一个数字,直到那个数字为1,或者是2,2就是1,用的for循环,好像也可以,都是从3开始的,然后就是3循环1次,4循环两次。n的阶乘的公式,什么情况,怎么没有听懂。
2025-02-21 19:50:11
194
原创 【c语言初阶】函数递归
等于1时,就不满足num > 9(这里是判断个位数的,因为个位数不大于9,)主要原理就是利用函数自己调用自己,然后不满足条件就会一直调用,最终调用到。//接受一个整型值(无符号),按照顺序打印他的每一位。然后就执行后面的printf打印操作,打印1,//输入:1234, 输出 1 2 3 4。变量名重复也没事,因为是存放的不同的地址,然后这个函数调用完成,继续实现上面的函数。栈区(存放的是局部变量,函数的形参)程序调用自生的编程技巧叫做函数递归。递归的主要思考方式是:把大事化小。软件版本dev c++
2025-02-19 12:39:20
160
原创 【c语言初阶】函数_函数的声明和定义
因为扫描代码是从上往下扫描的,当扫描到sum函数,发现之前没有遇到这个函数,其实在这里,编译器就已经报错了。但是我用的是dev c++的,好像用不了,就是创建不了头文件啊,就是.h那个,我去试一下,试了我就去吃饭了。就是说真去用这个函数时,就是可能没有这个函数,就是说的是假的声明,找不到这个函数也是有可能的。为啥不用老师那个,我也那个没搞好,不知道怎么搞。可以在主函数开头声明这个函数,就可以了。dev好像有头文件,我勒个痘痘,我试下。就是创建函数的时候就是函数的定义,就想在主函数后面定义函数呢,怎么办。
2025-02-18 17:56:12
128
原创 【c语言初阶】函数的嵌套
然后里面第二个printf就是打印最后一个返回值,最后的printf打印的是43,也就是两个字符串的长度,作为返回值给第二个printf。然后第二个printf打印的就是二,然后第二个printf返回的就是一个字符串长度的2,就是一个字符。没有写任何类型,就默认是int类型,但是不介意这样写,因为这是模棱两可的。这个就是printf的嵌套,然后考察的是printf的返回值。printf的返回值就是打印的这个字符的长度作为返回值来接收。就是说将strlen的返回值,当做%d的参数进行打印,嗯。
2025-02-18 17:26:33
183
企业网搭建 二层直连组网 华为ensp
2024-09-24
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人