2020年08月_scl、

原创网络安全学习篇51_第四阶段_业务安全

上一篇博客：网络安全学习篇50_第四阶段_SSRF目录业务安全概述黑客攻击的目标业务安全测试流程业务逻辑安全业务数据安全开始一、业务安全1.1 概述业务的逻辑漏洞登录验证的绕过交易中的数据篡改接口的恶意调用…1.2黑客攻击的目标1.3业务安全测试流程应用登录功能实现流程业务风险点识别访问控制缺失用户权限过大失效的身份验证验证码绕过、暴力破解、SQL注入等应用接口未授权访问接口放在互联网上，没有设置密码，可以直接调用业务数据安

2020-08-31 10:24:19 196

原创网络安全学习篇50_第四阶段_SSRF

上一篇博客：网络安全学习篇49_第四阶段_CSRF目录SSRF概述危害开始一、SSRFSSRF(Server-Side Request Forgery)与CSRF的区别就是"请求伪造"发生在服务器端这个漏洞叫做"服务器端请求伪造"1.1概述互联网上很多Web应用提供了从其他服务器（也可以是本地）获取数据的功能。使用用户指定的URL，Web应用可以获取图片、文件资源等如果Web应用对用户提供的URL和远端服务器返回的信息没有进行合适的验证或者过滤，就可能存在"请求伪造"的

2020-08-31 09:42:25 156

原创网络安全学习篇49_第四阶段_CSRF

上一篇博客：网络安全学习篇48_第四阶段_XSS防御、XSS平台的使用PS：B站千峰网络安全开源课程P247-P258节内容主要包括PHP注入、ACCESS注入、Webshell、文件上传漏洞等详细内容不再记录（时间不够了，假期君要离我而去了~）目录CSRF开始一、CSRF是一个Web应用的漏洞场景发生在有某一个用户登录Web应用发生在用户终端强制、诱惑执行非本地的操作1.1概述跨站请求伪造（Cross-site request forgery,CSRF）是一种攻击，他强制终端用

2020-08-22 22:37:42 179

原创网络安全学习篇48_第四阶段_XSS防御、XSS平台的使用

上一篇博客：网络安全学习篇47_第四阶段_XSS漏洞目录Shellcode的调用XSS防御输入过滤输出编码beef XSS神器浏览器劫持Cookie欺骗利用浏览器漏洞getshellXSS平台开始一、Shellcode的调用Shellcode就是在利用漏洞所执行的代码完整的XSS攻击，会将Shellcode存放在一定的地方，然后触发漏洞，调用Shellcode就是完成XSS攻击，需要有一个地方存放XSS代码反射型XSS存在参数和变量存储型的XSS

2020-08-22 11:30:19 276

原创网络安全学习篇47_第四阶段_XSS漏洞

上一篇博客：目录XSS漏洞概述简介XSS危害开始一、XSS漏洞概述

2020-08-22 10:09:31 398

原创网络安全学习篇46_第四阶段_其他注入手法、自动化注入

上一篇博客：网络安全学习篇45_第四阶段_SQL注入、SQLmap目录SQL读写文件宽字节注入自动化注入半自动化注入burp全自动化注入sqlmap定制化脚本开始一、SQL读写文件修改phpStudy配置文件my.ini在mysqld下面加上 secure-file-priv =查看是否已经有文件读写权限知道写入目标文件的绝对路径读取文件操作写入文件操作二、宽字节注入一种特殊的情况三、自动化注入思路分析当网址后面添加?id = 1

2020-08-21 10:51:52 185

原创网络安全学习篇45_第四阶段_SQL注入、SQLmap

上一篇博客：网络安全学习篇44_第四阶段_口令破解目录SQL简介SQL注入基础SQL注入测试网站开始一、SQL注入1.1SQL简介学习过MySQL数据库相关知识后，肯定对此不陌生，简单理解就是数据库增删改查的语句常见的关系型数据库：MySQL、ACCESS、MSSQL、Oracle等SQL(Structured Quary Language)结构化查询语言，是一种特殊的编程语言，用于数据库中的标准数据查询语言。1986年10月，美国国家标准学会对SQL进行规范化后，以此作为关

2020-08-20 10:00:49 216

原创网络安全学习篇44_第四阶段_口令破解

上一篇博客:网络安全学习篇43_第四阶段_扫描技术目录口令破解开始一、口令破解1.1口令安全威胁

2020-08-19 20:41:07 331

原创废旧Android手机搭建个人服务器：ksweb搭建Web服务器+Termux、Ngrok实现内网穿透

写在前面:本篇博客介绍利用废旧手机搭建一个服务器，可以放自己的网页搭建网站之前闲着没事，低价买了个虚拟主机，放了自己的静态网页，搭建了个人博客引导网站，后来虚拟主机被打死，凑巧了解到相关知识，于是就想利用废旧手机搭建一台服务器当然旧手机作为服务器搭建简单网站性能方面还是可以的，如果商用还是选择购买云主机基本思路：安卓手机是基于Linux的，也就是说安卓手机本身就是一台Linux服务器，我们只要简单

2020-08-18 21:31:54 29649 11

原创网络安全学习篇43_第四阶段_扫描技术

上一篇博客：网络安全学习篇42_第四阶段_信息收集目录扫描技术资产发现扫描神器Nmap开始一、扫描技术自动化扫描、提高效率扫描的是目标主机IP、开启的端口1.资产发现发现目标环境中有哪些资产，联网设备，主机，服务器，各种服务等往期相关博客：网络安全学习篇15_扫描与爆破2.扫描神器扫描神器Nmap往期博客提供软件下载地址：网络安全学习篇15_扫描与爆破官网：www.nmap.org优点效率高，跨平台，在Linux、Mac、Windows中都能使用，Kali系

2020-08-16 19:15:16 250 1

原创网络安全学习篇42_第四阶段_信息收集

上一篇博客：网络安全学习篇41_第四阶段_Web架构安全分析目录渗透测试在划定测试范围之后，就进入信息收集阶段信息收集DNS信息开始一、信息收集实验资料-测试网站testfile.netvulnweb.com1.1 DNS信息域名解析查询信息kali whois 查询站长之家查询反查子域名查询 https://searchdns.netcraft.com/域传送漏洞kali系统下查询公开信息 whois testfire.net站长之家查询：

2020-08-10 09:49:02 233

原创网络安全学习篇41_第四阶段_Web架构安全分析

上一篇博客：网络安全学习篇40_第四阶段_渗透测试方法论、OpenVAS 6.0.10安装详细步骤目录渗透测试PTES流程7个阶段事前互动情报搜集威胁建模漏洞分析漏洞利用深度利用书面报告通用渗透测试框架范围界定信息搜集目标识别服务枚举漏洞映射社会工程学漏洞利用权限提升访问维护文档报告黑客攻击的一般过程Web架构简单学习开始一、通用渗透测试框架范围界定：确定测试对象、测试方法，需要满足的条件，需要多久完成测试，达到什么目标等等信息搜集

2020-08-09 18:15:26 267

原创网络安全学习篇40_第四阶段_渗透测试方法论、OpenVAS 6.0.10安装详细步骤

写在前面：刚开始接触了一些关键词如渗透，sql注入，靶场等就发现对此方面挺感兴趣，毕竟黑客、白帽子总给人留下很酷的印象，恰巧在B站碰到了千峰网络培训发布的系列安全培训视频，系列课程大约有300多集，我决定利用空闲时间学习，把一些重要的笔记记录下来。B站千峰网络安全系列课程我本身是网络小白，记录的可能不完整、全面，甚至出现错误，希望大家谅解指正，也欢迎大家来交流学习！！！虽然我走的很慢，但我仍在前进！！千峰网络安全系列课程第一阶段网络通信篇、第二阶段Linux系统篇，第三阶段语言篇基本学习完成，

2020-08-08 17:57:01 978 1

原创本校暑假训练营13_Python数据分析入门8-机器学习算法1

目录线性回归线性回归使用场景线性回归假设逻辑回归逻辑回归应用场景逻辑回归假设练习8-1、8-2开始练习8-18-2

2020-08-07 21:07:45 174

原创本校暑假训练营12_Python数据分析入门7-网络2

目录模拟社交网络社交网络分析指标理解社交网络中的度练习7-3、7-4开始练习7-37-4

2020-08-07 21:03:16 168

原创本校暑假训练营11_Python数据分析入门7-网络1

目录网络分析的使用场景网络分析术语图生成器开始网络分析的使用场景制定策略投资，显示回报率网络分析术语图生成器生成图的函数，使用生成特定的合成图，验证图算法的性能...

2020-08-07 20:57:58 159

原创网络安全学习篇39_第三阶段语言篇_html、CSS、PHP学习篇+Vulhub靶场环境搭建

上一篇博客：网络安全学习篇38_第三阶段语言篇_Python学习篇目录phpStudy2016基础环境搭建WAMP开始一、phpStudy2016基础环境搭建WAMPWAMP—>windows、apache、MySQL、PHP为了便于环境配置，直接下载包含AMP的phpStudey安装下载：https://www.xp.cn/ 安装教程：https://www.xp.cn/wenda/375.html安装之后，打开开启服务，查看端口号查看web根目录—》c:/phpstud

2020-08-07 17:45:36 488

原创 Java学习篇23_线程池、Lambda表达式

上一篇博客：线程、同步目录等待唤醒机制线程间通信等待唤醒机制生产者与消费者线程池线程池思想概述线程池概念线程池的使用Lambda表达式函数式编程思想概述冗余的Runnable代码写法编程思想转换Lambda更优写法回顾匿名内部类Lambda标准格式练习：使用Lambda标准格式（无参无返回值）Lambda参数和返回值练习：使用Lambda标准格式（有参与有返回值）Lambda省略格式练习：使用Lambda省略格式Lambda的使用前提开始

2020-08-06 17:09:45 235

原创网络安全学习篇38_第三阶段语言篇_Python学习篇

写在前面：刚开始接触了一些关键词如渗透，sql注入，靶场等就发现对此方面挺感兴趣，毕竟有的人大大小小都有一个黑客梦，恰巧在B站碰到了千峰网络培训发布的系列安全培训视频，系列课程大约有300多集，我决定利用空闲时间学习，把一些重要的笔记记录下来。B站千峰网络安全系列课程我本身是网络小白，记录的可能不完整、全面，甚至出现错误，希望大家谅解指正，也欢迎大家来交流学习！！！虽然我走的很慢，但我仍在前进！！千峰网络安全系列课程第一阶段网络通信篇、第二阶段Linux系统篇基本学习完成，详情见往期博客接下

2020-08-04 18:15:30 476 1

原创网络安全学习篇37_第二阶段_基本Linux脚本、变量、判断if、循环for\while、case语句

上一篇博客：网络安全学习篇36_第二阶段_简单介绍Java Web框架之Tomcat服务、Nginx负载均衡、Linux包过滤防火墙IPtables、NAT网络地址转换目录shell脚本变量数值读入if判断语句for、while循环语句case语句开始shell脚本1.脚本的作用：可以执行计划任务把需要执行的代码保存在一个文件，需要的时候按顺序执行2.脚本的书写第一行需要声明脚本是由什么命令解释器运行的，如#！/bin/bash第二行可以加上一些附加信息接下来写脚本代码

2020-08-03 10:33:16 186

原创 Java学习篇22_线程、同步

上一篇博客：异常、线程目录线程多线程原理Thread类创建线程的方式二Thread和Runnable的区别匿名内部类方式实现线程的创建线程安全线程安全线程同步同步代码块同步方法Lock锁线程状态线程状态概述Time Waiting（计时等待）BLOCKED(锁阻塞）Waiting（无线等待）补充知识点开始一、线程1.1多线程原理1.2Thread类1.3创建线程的方式二1.4Thread和Runnable的区别1.5匿名内部类方式

2020-08-02 23:07:27 209

原创网络安全学习篇36_第二阶段_简单介绍Java Web框架之Tomcat服务、Nginx负载均衡、Linux包过滤防火墙IPtables、NAT网络地址转换

上一篇博客：网络安全学习篇35_第二阶段_lnmp、Nginx简单配置+安装报错：C compiler cc is not found缺少环境解决、安装php5.3.28目录Java Web框架之Tomcat服务Nginx负载均衡Linux包过滤防火墙IPtablesNAT网络地址转换开始一、Java Web框架之Tomcat服务前面简单了解了lamp、lnmp框架下面简单学习java web框架相关jsp语句，解析使用tomcat1.1Tomcat服务1.安装之后，使用需

2020-08-02 19:20:55 235

原创网络安全学习篇35_第二阶段_lnmp、Nginx简单配置+安装报错：C compiler cc is not found缺少环境解决、安装php5.3.28

上一篇博客：网络安全学习篇34_第二阶段_apache、mysql等配置+ centOS设置中文输入法目录Nginx的简单介绍Nginx的安装安装的时候报了一个错：C compiler cc is not found缺少环境解决Nginx解释PHP语言的简单配置开始Nginx前面了解基本框架lamp接下来学习 lnmpnginx web 支持庞大的并发访问一、Nginx概述Linux Nginx MySQL PHP\Perl\Python继apache之后的另一款在

2020-08-02 11:28:25 494

原创网络安全学习篇34_第二阶段_apache、mysql等配置+ centOS设置中文输入法

上一篇博客：网络安全学习篇33_第二阶段_Linux系统日志文件、centOS6.10开启ssh服务目录apache相关MySQL相关centOS设置中文输入法开始一、apache相关web服务linux系统作为服务器实现http服务1.1主流基本框架lamplinux、apache、mysql、phpphp可以将数据添加到数据库、可以进行数据库常用操作1.2web服务对外服务需要：IP地址、端口号（80、有证书的443）启动服务—》service httpd star

2020-08-01 21:31:28 444

原创网络安全学习篇33_第二阶段_Linux系统日志文件、centOS6.10开启ssh服务

上一篇博客：网络安全学习篇32_第二阶段_Linux操作系统的用户分类、文件权限、网络信息查看与配置目录日志centOS6.10开启ssh服务开始一、日志文件0. 日志文件的存放目录及查看/var/log—>日志文件目录cd /varlscd loglsvim messagevim secure1. 日志分类系统日志：记录系统在运行过程产生的日志登录日志：记录用户的登录信息2. 日志的管理服务vim /etc/rsyslog.conf日志级别：触发日

2020-08-01 10:08:35 369

xiaosi的博客