- 博客(92)
- 收藏
- 关注
RSS订阅原创 tips:内容拓展——MIME 类型(MIME Type)介绍
MIME 类型(MIME Type),全称为“多用途互联网邮件扩展类型”,是一种标准,用于标识文档、文件或数据流的性质和格式。你可以把它理解为文件在互联网上的“数字身份证”。当浏览器从服务器接收数据时,它会依赖这个“身份证”来决定如何处理内容——是直接渲染成网页、显示为图片,还是提示用户下载。
2026-03-30 21:20:40
529
原创 pikachu靶场——Unsafe Fileupload(Kali系统)
Pikachu 靶场的“不安全的文件上传”(Unsafe Fileupload)模块包含三个循序渐进的关卡,分别代表了三种常见的文件上传验证机制。这一关的验证逻辑是在前端通过 JavaScript 实现的,用于检查文件后缀名。上传成功后,页面会回显文件的保存路径,使用蚁剑等工具连接即可。服务器被伪造的 MIME 类型欺骗,允许文件上传。这一关的验证逻辑在服务器端,通过检查 HTTP 请求头中的。,会被前端 JS 拦截并提示“上传的文件不符合要求”。根据页面回显的路径,使用蚁剑连接。函数来检测文件内容。
2026-03-30 21:20:12
762
原创 第18天:Springboot 项目搭建
由于是社区版,本身没有旗舰版的代码提示,Bean跳转等功能,因此,建议安装一些插件:Spring Boot Helper 现在需要注册号了。由于,还没有配置数据库的相关参数,因此,先在 XXXApplication启动类上加上一句。两个一起装,社区版就能接近旗舰版 80% Spring 体验,然后运行启动类,没有报错,则说明启动成功,然后在网页中输入。显示下图信息,则说明 Spring boot 配置成功。至此,我们可以正式开始后端逻辑的编写。包,并新建一个测试接口。
2026-03-28 21:48:32
381
原创 第17天:JDK、IDEA、MySQL 安装
本文详细介绍了后端开发环境的搭建过程,主要包括三个核心组件的安装配置:1)选用Amazon Corretto JDK 17作为免费商用的Java开发环境;2)安装IntelliJ IDEA 2026.01版本开发工具;3)部署MySQL 8.0社区版数据库服务。文中提供了各软件的官方下载地址、分步安装图示说明以及环境验证方法,特别强调了商业使用时的授权注意事项。最后演示了IDEA连接MySQL数据库的操作流程,为后续后端开发做好准备。所有安装步骤均配有详细截图和终端验证方法,确保环境配置正确无误。
2026-03-27 21:24:35
1364
原创 pikachu靶场——File Inclusion(Kali系统)
文件包含漏洞是Web开发中的高危漏洞,分为LFI(本地文件包含)和RFI(远程文件包含)两类。
2026-03-27 21:20:32
387
原创 从 Flutter 前端到 Spring Boot 后端:2026 年技术栈落地路线图(实战版)
前端 Flutter 页面已完成,下一步正式进入 Java + Spring Boot 后端开发:从数据库、接口、权限、安全到部署,把项目从 “纯前端 Demo” 变成 “可上线的完整应用”。
2026-03-26 20:56:46
124
原创 pikachu靶场——RCE exec ping漏洞(kali版,附万能Payload+绕过技巧)
做Web渗透的小伙伴,肯定绕不开RCE远程命令执行漏洞,这是Web高危漏洞里的高频考点,也是实战中最容易拿到服务器权限的突破口。Pikachu靶场作为网安入门封神的练习平台,专门做了模块,完美还原了最基础、最典型的系统命令拼接漏洞,没有复杂绕WAF场景,专门给新手练手,看完这篇,打开Kali跟着做,十分钟就能复现成功!很多新手分不清ping命令执行和eval代码执行的区别,这篇就把原理、步骤、坑点全讲透,看完直接上手,再也不怕面试被问RCE!Pikachu的exec ping模块,属于系统命令执行漏洞。
2026-03-25 17:53:35
565
原创 pikachu靶场——REC漏洞(Kali系统)
复现完漏洞,咱们更要懂防御,毕竟开发和安全是一体的,核心防御思路就这几点:禁用危险函数:PHP环境禁用exec、system、passthru、eval等危险函数,从源头切断执行入口;严格过滤用户输入:对用户输入做白名单校验,严禁直接拼接命令/代码,过滤|、&、;、%0A等特殊拼接字符;最小权限运行:Web服务运行权限设置为最小权限,避免漏洞被利用后直接获取管理员/root权限;避免使用高危函数:尽量用PHP内置函数替代系统命令,非必要不使用eval等代码执行函数;
2026-03-24 19:45:10
323
原创 pikachu靶场——SQL-Inject—4(Kali系统)
本文介绍了三种SQL注入漏洞的检测方法,均使用sqlmap工具在授权测试环境下进行。首先演示了"insert/update"注入检测,通过POST请求参数测试;其次展示了"delete"注入检测,针对URL参数进行扫描;最后重点说明"http header"注入检测,需配合--level 3和--risk 3参数以覆盖头部测试。文章强调所有测试必须获得合法授权,违规操作将承担法律责任,旨在帮助开发者识别SQL注入漏洞,提升Web应用安全性。文中详细
2026-03-23 19:34:22
618
原创 pikachu靶场——SQL-Inject—3(Kali系统)
本文通过Kali系统中的sqlmap工具复现了搜索型SQL注入,进攻技术学习交流,严禁非法扫描。
2026-03-13 22:40:40
720
原创 第13天:手把手封装一个高复用的搜索栏组件
本文介绍了一个功能完整、可高度定制的Flutter搜索栏组件的实现过程。该组件具备输入提交、一键清除、焦点样式切换等核心功能,支持自定义提示文字和背景色。文章详细拆解了有状态组件、控制器(TextEditingController和FocusNode)等关键概念,并提供了完整的代码实现步骤,包括基础结构搭建、核心功能方法和UI构建。特别强调了内存管理(dispose方法)和用户体验细节(阴影、圆角等视觉优化),适合Flutter初学者学习组件封装和交互实现。
2026-03-11 22:46:43
686
原创 pikachu靶场——SQL-Inject—1(Kali系统)
本文演示了数字型SQL注入漏洞的检测与利用过程。通过sqlmap工具检测目标网站存在布尔盲注、报错注入、时间盲注和联合查询注入等漏洞。重点展示了联合查询注入的实际操作:1)使用代理和随机请求头绕过防护;2)通过注入语句依次获取数据库名(pikachu)、表名、字段名;3)最终获取用户表中的敏感数据。文中强调该方法仅限授权测试使用,未经授权的SQL注入攻击属于违法行为。该案例揭示了数字型注入漏洞的危害性,提醒开发者需重视输入验证和参数化查询等安全措施。
2026-03-11 22:13:24
677
原创 第12天:flutter中的自定义类的介绍
在讲FileItem之前,先回答新手最核心的疑问:为什么要写自定义类?假设你要做一个文件管理APP的列表页面,需要展示每个文件的「名称、类型、大小、日期」。// 新手踩坑写法:数据零散,维护灾难String file1Title = "旅行照片.jpg";String file1Category = "图片";String file2Title = "项目文档.pdf";String file2Category = "文档";// ...新增100个文件就要写400行代码!
2026-03-10 22:33:42
663
原创 pikachu靶场——CSRF(post与token)(Kali系统)
本文分析了CSRF攻击在POST和TOKEN两种场景下的实现方法。针对POST型CSRF,展示了恶意表单自动提交的攻击代码;对于TOKEN防护场景,详细说明了通过隐藏iframe提取动态token的攻击思路,并指出实际复现中受同源策略限制的难点。文章还讨论了不同网络环境下IP地址配置对攻击效果的影响,强调靶场测试中需注意登录状态保持问题。最后提醒所有测试必须在合法授权范围内进行,严格遵守网络安全法律法规。
2026-03-10 21:15:59
1063
原创 pikachu靶场——csrf的几个问题
摘要:在Pikachu靶场复现CSRF漏洞时遇到三个问题:1)GET型CSRF需要用户从恶意链接登录后才能修改信息,可能是302跳转导致;2)POST型同样跳转至登录页面而非直接修改信息;3)Token型因同源策略无法获取token,且BP跨主机抓包存在困难。问题核心在于攻击者与受害者同设备复现时IP相同,与实际场景不符,需解决跨主机检测和同源策略限制。
2026-03-09 22:44:45
248
1
原创 第11天:打造个人中心页面(小白也能学会)
本文介绍了一个使用Flutter构建绿色系个人中心页面的实战教程。教程详细讲解了如何实现渐变导航栏、圆形头像、数据统计卡片和功能菜单等UI元素,涵盖了颜色管理、滚动优化、视觉提升和交互体验等核心知识点。通过封装可复用组件和使用Sliver系列控件,开发者可以快速打造视觉效果出众的响应式页面。文章还提供了完整的可运行代码示例,特别适合Flutter新手学习实践。
2026-03-09 22:04:30
410
原创 pikachu靶场——同源策略(csrf token 没复现成功)
同源策略是浏览器核心安全机制,限制不同源的网页相互访问资源(如DOM、Cookie、数据接口),防止恶意网站窃取用户数据。判断同源需满足协议、域名、端口完全相同。常见跨域解决方案包括:1)CORS(后端配置响应头允许跨域);2)代理服务器(前端通过代理转发请求);3)document.domain(仅限主域名相同的子域名)。同源策略虽增加开发复杂度,但有效保障用户信息安全。
2026-03-08 13:55:21
493
原创 2.3 感知机学习算法
摘要:本文介绍了感知机学习算法的原始形式及其收敛性。算法通过迭代更新权重ω和偏置b,逐步修正误分类点,最终得到分离超平面。文中通过具体例题演示了迭代过程,并指出感知机算法在训练数据线性可分时具有收敛性,其误分类次数存在上界。不同初始值或误分类点选择会导致不同的分离超平面,但算法能在有限次迭代后找到完全正确分类的解。
2026-03-07 23:33:11
411
原创 第10天:Flutter加载本地GeoJSON地图(小白也能玩转Flutter地图)
这篇文章详细介绍了如何在Flutter中实现地图与GeoJSON数据的集成,适合新手快速上手。主要
2026-03-07 11:07:34
537
原创 pikachu靶场——CSRF(get)(Kali系统)
摘要:本文详细介绍了跨站请求伪造(CSRF)攻击的原理与防御措施。复现pikachu靶场的CSRF的get漏洞。
2026-03-06 23:15:39
594
原创 Burp Suite Professional 安装 (kali版)
本文介绍了Burp Suite Pro专业版的安装与激活方法。全文提供了详细的图文操作指引,仅用于学习使用。
2026-03-06 21:16:40
945
原创 pikachu靶场——Cross-Site Scripting-6 XSS之href和js(Kali系统)
全文以Pikachu靶场为例,展示了从漏洞发现到防御的完整过程,适用于授权渗透测试场景。未经授权,严禁使用相关漏洞。
2026-03-04 22:07:23
424
原创 第9天:3种页面跳转方式的区别,用错会踩大坑!
本文总结了Flutter中三种页面跳转方式的区别与适用场景: Navigator.push(MaterialPageRoute):基础跳转方式,保留原页面(可返回),适合小型项目或临时跳转,但维护性差。 Navigator.pushNamed:命名路由跳转,同样保留原页面,通过路由表统一管理,便于维护和传参,推荐用于中大型项目。 pushReplacementNamed:替换式跳转,销毁原页面(不可返回),适用于登录/注册后跳转、支付完成等特殊场景。
2026-03-04 20:38:29
688
原创 pikachu靶场——Cross-Site Scripting-5 XSS之htmlspecialchars(Kali系统)
本文介绍了PHP中htmlspecialchars()函数在防御XSS攻击中的应用,包括其工作原理、参数配置和最佳实践。该函数通过将特殊字符转换为HTML实体来防止恶意脚本执行。文章还演示了在靶场环境中绕过htmlspecialchars防护的三种方法:使用javascript:伪协议、事件处理器注入和data:协议,并提供了对应的Payload示例和适用场景分析。最后强调这些技术仅适用于合法授权的渗透测试,严禁非法使用。
2026-03-03 23:44:15
587
原创 pikachu靶场——Cross-Site Scripting-4 XSS盲打与过滤(Kali系统)
本文探讨了XSS攻击中的盲打技术和过滤绕过方法。XSS盲打是存储型XSS的特殊变体,攻击者无法直接看到结果,而是通过管理员等特定用户访问时触发。文章详细介绍了漏洞原理和攻击目标。针对XSS过滤,分析了多种绕过技巧,包括标签/事件绕过、关键字混淆和编码绕过等。从防御者角度,提出了可靠的安全措施:采用白名单输入验证、上下文相关的输出编码、使用安全库(如DOMPurify)和实施内容安全策略(CSP)。强调不应依赖黑名单过滤,而应建立多层次的防御体系来有效防范XSS攻击。
2026-03-02 21:36:27
931
原创 第7天:Flutter新手必看—搞定高颜值底部导航栏(附完整源码)
本文介绍了Flutter底部导航栏的实现方法,包含5个核心功能页面。关键点包括:使用StatefulWidget管理动态状态,通过_currentIndex控制页面切换,Scaffold构建页面框架,BottomNavigationBar配置导航项样式和交互。特别强调了5个导航项必须设置type: fixed避免折叠,并提供了安全区适配方案。完整代码可直接复制使用,实现包含图标、文字、选中态变化的底部导航功能。
2026-03-02 19:46:35
695
原创 pikachu靶场——Cross-Site Scripting-3 DOM型XSS(Kali系统)
本文仅用于合法授权的渗透测试场景,旨在帮助开发者识别DOM型XSS漏洞、提升Web应用安全性,严禁用于未授权攻击!网络安全无小事,违规操作将承担相应法律责任。
2026-03-01 19:37:04
841
原创 第6天(参考):Flutter 3.38.10 本机号码一键登录/注册(自动提取,复制即用)
本文介绍Flutter 3.38.10版本下实现本机号码一键登录功能的完整流程。
2026-03-01 15:48:02
758
原创 第5天:Flutter小白入门写一个注册页面
Flutter注册页面实战教程摘要 本教程通过一个完整的注册页面案例,帮助Flutter新手快速掌握核心开发技能。主要内容包括: 使用StatefulWidget管理动态UI状态 Form和TextFormField实现表单验证功能 密码显示/隐藏切换的状态管理 SingleChildScrollView解决键盘遮挡问题 路由跳转实现页面导航 背景图片美化与屏幕适配技巧 案例覆盖了表单开发、状态管理、UI布局等80%的基础知识点,并提供代码示例和详细讲解。教程还给出了运行步骤和优化建议,适合初学者快速上手。
2026-02-27 22:27:15
756
原创 pikachu靶场——Cross-Site Scripting-1(Kali系统)
本文介绍了反射型XSS(GET/POST)的基本原理与危害,通过本地靶场演示了XSS漏洞的利用过程。文章重点分析了反射型XSS的攻击机制,包括通过URL参数注入恶意脚本、会话劫持等危害,并提出了输入验证、输出编码等防御措施。同时提及了在Kali Linux中复现XSS攻击的方法,强调所有操作仅限授权环境下的学习交流,不得用于非法用途。全文旨在提升Web安全防护意识,为开发者和安全研究人员提供技术参考。
2026-02-25 22:28:43
1320
1
原创 第4天:登录界面完善
本文介绍了Flutter登录功能的实现方法,主要包括三个关键步骤:1)为登录界面添加背景图;2)对密码进行MD5加密处理;3)实现基本的账号密码验证功能。核心代码展示了完整的登录流程:先进行表单验证,然后显示加载状态,接着将用户输入的密码进行MD5加密,验证用户名和加密密码是否正确,验证通过后跳转到首页,最后关闭加载状态。文章详细解析了代码中涉及的异步编程、表单验证、状态管理、文本控制器、MD5加密和路由导航等核心概念,并针对实际应用场景提出了优化建议,如错误提示和加载状态处理等。最终实现了一个包含背景图的
2026-02-25 20:21:58
910
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人