喵喵喵

Day 2 扩展1、常见浏览器协议1)ftp\https\fileftp: definition  FTP（File Transfer Protocol，文件传输协议） 是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分，其一为FTP服务器，其二为FTP客户端。其中FTP服务器用来存储文件，用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。 https...

文章目录背景介绍实验环境实验目的实验步骤步骤一步骤二步骤三课后习题分析与思考参考文档背景介绍微软对SQL注入的介绍：脚本注入式的攻击恶意用户输入用来影响被执行的SQL脚本SQL注入产生的直接原因是拼凑SQL，实质就是将恶意的SQL代码注入到特定字段用于实施拖库攻击等。防御方式主要有三种：字符串检测：限定内容只能由英文、数字等常规字符，如果检查到用户输入有特殊字符，直接拒绝。但缺...

文章目录前言安装步骤前提：安装xampp下载dvwa解压和安装开启MySQL和Apache新建账户修改登录信息访问localhost/dvwa并Creatdatabase前言虽然Mac自带了Apache和PHP，但是改各种参数也可能让新手折腾很久，所以我们选择用XAMPP一键安装。安装步骤前提：安装xampp安装过程参考XAMPP的安装下载dvwa点此下载DVWA解压和安装解压d...

文章目录Part 1 课程笔记安全问题环境如何攻击如何防御Part 1 课程笔记安全问题环境如何攻击如何防御

文章目录Part 1 课程笔记概念Part 2 课后习题Part 1 课程笔记概念xss，cross site script 跨站脚本。一种注入攻击，指攻击者在页面注入恶意脚本代码，当受害者在访问页面时，恶意代码会在其浏览器上执行。不仅限于JavaScript，还有flash等其他语言。Part 2 课后习题...

文章目录Part 1 MIME上传绕过实例step 1 环境配置Part 4 课后习题Part 1 MIME上传绕过实例step 1 环境配置1、设置代理2、访问10.1.1.59：81，用户名是admin，密码是password。然后打开burp，在dvwa中访问SQLinjection，截获的数据包如下。3、单击右键选择send to spider，切换到Spider模块下，bu...

文章目录Part 1 课程笔记1、owasp top 10简介2、应用程序安全风险3、OWASP TOP 10 内容5、新闻or漏洞平台Part 2 课后题Part 1 课程笔记1、owasp top 10简介Open Web Application Security Project:世界范围内的一个非盈利组织，目的在于提高软件系统安全性；top10 整理总结了web 应用开发中常见的漏洞；...

文章目录Part 1 课程笔记1、获取目标2、执行检测语句3、拓展语句Part 2 课后习题Part 1 课程笔记1、获取目标-d 直接链接数据库sqlmap -u --url=URLsqlmap -l 解析日志文件中的目标sqlmap -x 从远程xml文件中解析目标sqlmap -m 在同一个文本中扫描多个目标sqlmap -r 从一个HTTP请求中解析目标2、执行检测语句...

Part 1 课程笔记php5.5放弃了扩展，php7及以后MySQL的扩展完全被移除了，官方推荐使用更新的mysqli来代替mysql扩展。两者函数一样。mysqli扩展被封装到一个类中，既可以面向对象也可以面向过程。mysqli可以避免产生SQL注入，但也不是没有安全问题，可以用参数化查询的方法避免。Part 2 实验操作PHP语法PHP标记ASP标记：<%...%>(...

Part 1 HTTP请求GET从指定的资源请求数据，超全局变量$_GET查询字符串（名称/值对）是在GET请求的URL中发送的。POST向指定的资源提交要被处理的数据,超全局变量$_POST查询字符串是是在POST请求的HTTP消息主体中发送的。PHP表单处理PHP文件长传Part 2 其他笔记...

Part 1 web安全SQL语句基本操作课后题【解析】A语句为显示数据库，其他三条语句有用对数据库的对象进行操作，分别是插入（insert）、更新（update）、提取（Select）操作。【解析】create语句作用是创建一个对象，对象可以是table、database，本例中创建对象为数据库，故采用Create Database DatabaseName的格式。【解析】SQL语句...

Part 1 SQL语句简介课后题【解析】SQL，Structured Query Language，结构化查询语言，高级非过程化编程语言。是语言不是软件，也不是服务器。它用于访问和操作数据库系统。ANSI，美国国家标准化组织它以记录集合作为操作对象，接受集合作为输入，返回集合作为输出，允许一条SQL语句的输出作为另一条SQL语句的输入，SQL语句可以嵌套。【解析】MySql是一种小型...

Part 1 PHP简介课后题【解析】基本都是被Apache处理过的。详见Hetian lab day3 常见Web服务端架构简介 part1 第五题【解析】PHP的标签有四种，如下<?php content ?>//contents 表示我们编辑的代码段<script language='php'>contents</script><? c...

LAMP环境搭建课后题lamp:linux+apache+mysql+php合天网安实验室使用的是centos，我这里使用的是macOS Mojave。【解析】如上。【解析】无【解析】使用格式如下：GET方法：curl protocol://address:port/urlPOST方法：curl -d “args” “protocol://address:port/url”...

文章目录数据数据库数据库类别数据程序运行时数据都被载入内存，运行结束后数据会被保存到磁盘上，无论是保存到本地磁盘还是通过网络保存到服务器上，最终都会讲数据写入磁盘文件。数据的存储格式是保存数据时会面临的一个大问题。比如我们要保存一个班级里所有学生的成绩单：namegradealice98bob95cindy91lisa94gabby80...