- 博客(7)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 CSRF中Referer的误解
首先要知道,该字段主要是为了解决图片盗链问题。然后作为CSRF的一种监控手段,需要和其他结合。看到网上有人说Refer可以伪造1.利用服务端脚本代码,如PHP。这些是在服务器运行的,发包也是服务器发的,都获取不到受害者的cookie。2.前端,ajax等。ajax好像确实有设置referer的函数,但是最终发包的构造是浏览器完成,也就是说浏览器会覆盖,就算你前端脚本构造了。以后变大
2017-10-24 22:28:39
3869
原创 PHP代码审计之路——5.代码执行及一句话木马总结
1. eval 2. assert3.call_user_func4. array_map5. create_function6.变量7. preg_replace
2017-09-27 23:47:57
2276
原创 文件上传类型总结
1.前端代码2.逻辑绕过3.文件内容检测4.文件包含、文件备份5.网站后台6.容器及语言特性7.畸形报文8.系统特性9.SQLI方面
2017-08-29 11:24:25
1786
原创 sql injection 类型总结
前言(废话):本人觉得网上对于SQL类型的分析其实有点混乱(特别是中文网站,误导人),后来我发现其实大家都是根据sqlmap上给出的类型来划分的( --technique=BEUSTQ (Boolean, Error, Union, Stacked, Time, Query Inline)从实际的理解上来说,这样划分是难以理解的,sqlmap的BEUSTQ是它的注入方式,和类型其实没有什么
2017-08-16 23:50:55
1509
原创 如何理解补码这一概念
开篇先说点废话,额...算了。我们知道,计算机在计算的时候是没有负数与正数的概念区分的,对于“1-1s=?”,计算机的理解是1 + (-1)重点来了,首先正数的补码是其本身,负数的补码是其数值位取反加1。要理解这一概念,要始终记住两个字“时钟”。3点减7点等于多少? 你别说-4点,等于8点,-7 =12-7=5,3+5=8,要区分运算过后的补码是正数还是负数就看符号位的了,所以取反
2016-11-14 20:30:10
440
原创 关于MAC地址与IP地址的存在解析(为什么有了MAC地址还要IP地址?)
以前刚刚开始学网络原理的时候老师就问了我们这么一个问题:“为什么有了MAC地址还要IP地址?或是为什么有了IP地址还要有MAC地址呢?” 但总的来说,我个人觉得老师和网上的回答都虽然很有道理,但似乎都缺少什么,没有让我恍然大悟的感觉,今天我想和大家说说我对于这个问题的整理。 要从协议层来看待这个问题,也是解决问题的根本方法。 众所周知,物理层用于提供信号数据的传输,屏蔽物理接口
2016-04-11 09:16:04
2414
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人