qq_46208236的博客

pikachu

noteXML注入什么是XML注入又叫XML实体注入，XML External Entity attack(XXE)XML injection，XML注入漏洞。XML注入类似于SQL注入，XML文件一般用作存储数据及配置，如果在修改或新增数据时，没有对用户可控数据做转义，直接输入或输出数据，都将导致XML注入漏洞的产生。有的服务器会通过生成XML来达到存储信息（可能是用户个人信息酱紫的东西）举个栗子正常情况下服务器存储的数据是酱紫的：<?xml version="1.0" en

渗透测试之SQL注入由于第六天学到的东西主要还是复习HTTP协议以及一些网络请求方式（主要是GET和POST），没啥东西，多抓抓包，谁都能学会，我就不在笔记里边写了。今天的才是大头！！！！今天的笔记里边重点记录以下今天开的新篇（重点！）：SQL注入写在前边，如果在后边的SQL注入示例中出现了多种注入方法的出现，那么第一个就是老师给的标准案例，后边的就是我个人根据理解自己写的，都是可以的SQL注入什么是SQL注入？（啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊阿西吧一堆官方套话，我在这儿就说人话了（b

note不好意思今天内容实在不多…就先水一下了…第七天的内容很多！！！！！！Web与HTTP协议C/SB/S这两个实在懒得解释了，网上详细的东西很多URL：统一资源定位符DNS域名解析TCP和UDP的开放端口都是59...

note2本地yum的配置仅主机模式本主机模式基本上无限制，只要符合网络通信规则,就可以实现通信，一般用于搭建环境，因为相较于其他两种模式，仅主机非常的稳定网络yum的原理：调用网络yum源来对某些包进行安装本地yum：无需网络即可完成YUM的相关操作以及相关包的安装，无论是桥接、NAT、仅主机等等都可以使用配置默认情况下/etc/yum.repos.d/文件存放的都是网络YUM源# 备份本机原有的网络yum配置文件mkdir /yum.repo.bak/

note1配置本地YUM源以及相关的网络设置五种网络设置的区别桥接模式：直接连接到物理网络（相当于虚拟机直接连接wifi等网络）NAT模式：共享主机的IP地址（相当于物理机模拟出来一个wifi，让虚拟机通过这个wifi进行通信）仅主机：与主机共享专用网（没办法与外部通信，直能计算机内部进行通信）自定义自定义一块网卡进行通信，指定相关的网卡（比如新建一块网卡专门用于实验，有一块专门用于考试）LAN区段：分割网络，做到网络隔离（两台计算机分别连接两个wifi，

note2线程可以理解为轻量级的进程，是程序执行的最小单元线程由线程ID、当前指令指针（PC）、寄存器和堆栈组成每一个程序都至少有一个线程，如果只有一个线程的话，那它就是程序本身线程由就绪、阻塞和运行三种装填具有以下特性：轻型实体线程中的实体基本上不拥有系统资源，只分配必不可少的、保证独立运行的资源独立调度和分配的基本单元在多线程OS中，线程是能独立运行的基本单位，因而也是独立调度和分派的基本单位由于线程很“轻”，故线程的切换非常迅速且开销小(在同一进程中的)。

note1cat -n (文件名) # 这样查看文件的话可以在原有基础显示行号moreless # 可以上下翻页tail -f (文件名) # 实时查看某些文件，一般用于对日志文件的查询wc -l (文件名) # 统计文件行数wc -w (文件名) # 统计文件单词数wc -c (文件名) # 统计文件字节数grep文件内容查询语句grep [选项] (查找条件)(目标文件) -i 忽略大小写 -v 反转查找

note2一些基础的不能再基础的东西pwd查看当前路径的绝对路径lscdrmmkdirtouchlnmv.....什么的太基础了就不打了硬链接文件必须与原文件在同一分区中du 查看目录信息占用情况cp -p 可以保证源文件的所有人和所属组不变cp -f 可以保证源文件在目标目录如果冲突的话可以直接覆盖关于ls -l检查文件后最前边一个字母的属性d：目录l：链接文件b：块设备find 命令find (查找范围) (查找属性[-name][-type][-s

note1使用Vmware安装CentOS7或CentOS8的版本，在这儿就不讲了Crtl+Alt+F3进入终端界面（init3）Alt+F1切回来（init5）Linux操作系统下根目录内各个子文件夹的作用：/root ： 管理员的宿主目录/bin ： （ binary：二进制）（所有用户：包括普用户和管理员）普通用户执行的命令/sbin ： （ security binary：安全的二进制 ） 管理员执行的命令/boot ： 启动分区，存放启动文件、Linux内核文件（红帽必

note1复习OSI七层协议可以分为一下这两部分说话——传输层、会话层、表示层、应用层点到点（找人）——物理层、数据链路层、网络层IP地址分类A类：开头为0，前八位为网络号 0.0.0.0~126.255.255.255B类：开头为10，前十六位为网络号 128.0.0.0~191.255.255.255.255C类：开头为110，前二十四位了网络号 192.0.0.0~224.255.255.255D类：开头为1110E类：开头为1111二元组

note2复习什么是计算机网络？WANLAN什么是协议？为了使数据可以在网络上从源传递到当的地，网络上所仅攻亩需版TA-×相同的“语言”描述网络通信中“语言”规范的一组规则就是协议例如:IEEE系列、TCP/IP、HTTP、DNS等等什么是标准？为了使数据可以在网络上从源传递到当的地，网络上所仅攻亩需版TA-×相同的“语言”描述网络通信中“语言”规范的一组规则就是协例如:IEEE系列、TCP/IP、HTTP、DNS等等IEEE局域网标准（东西有点多，这边建议直接百度呢亲

note1北京云安信息科技有限公司实训目的：提高实际工作中配置和维护各种服务器的能力。(创建、维护服务器、网站、数据库、代理)通过服务器的安全配置与维护，掌握网络中常见安全问题的解决方法。(防御、如何加固操作系统、如何加固web服务器、如何加固数据库等等)对系统服务器进行入侵检测操作，能更好的掌握各种协议的应用。(攻击、sql注入、文件上传、文件包含、命令执行等等)实训的任务主要是使得学生掌握网络与信息安全技术领域的基本理论和方法，具有较强的自律意识和信息安全意识，具有使用网络安

简单介绍一下：具体背景因素在第一期已经讲过了，有需要了解的可以点进去看一下。今天学习的内容是该组视频学习笔记的第二期，如有遗漏、错误，还望大佬及时补充。链接：https://www.bilibili.com/video/BV1d5411w7EG?p=2学习内容漏洞是什么？首先有一个很大的一个项目：弱口令。本次视频重点讲解的是HTML注入方面的一些东西。弱口令这里主要是涉及到个人的一些网络安全意识了。如果密码的设置过分符合某些规律，就有可能被爆破出来。比如说：姓名、姓名拼音、姓名首字母、

想不出来叫什么–1期不知所云的草草介绍:哈喽！大家好！这里是网安一名小萌新发来的报道。19级网络空间安全本科生。现在的时间应该是2021-7-14日，正是大二升到大三的暑假阶段。由于前两年种种原因导致我个人的学习方向有些偏离了“安全”的范畴，我决定在大三之前学习一下网络安全这方面的东西。但因为之前由于新冠疫情困住的那段时间，导致我错过了许多知识。所以我决定找一个零基础的视频来补一补。再三斟酌，我选择了B站UP“网络安全扫地僧”推荐的一组视频。视频BV号：BV1d5411w7EG今天学习的内容是该组视频