旺仔_学习笔记
文章平均质量分 71
当今社会,随着互联网的普及和信息技术的快速发展,网络安全已成为一项至关重要的技能。无论是个人用户还是企业组织,都需要具备一定的网络安全知识和技能,以保护个人隐私和数据安全,防范网络攻击和信息泄露的风险。
旺仔Sec
"进步是一种渐进的过程,每一步都是向前迈出的胜利";CSDN认证网络安全领域优质创作者;曾获得网络竞赛&&网安竞赛省级一等奖两项,软件开发国家级一等奖一项,大学期间曾获奖项20余项;熟练掌握【Java】【C】【Python】现担任某大厂安全测试工程师;喜欢记录自己所学知识,热爱生活
展开
-
CVE-2017-12629-Apache Solr远程代码执行漏洞分析
Apache Solr 是一个流行的开源企业搜索平台,广泛应用于各种企业级应用和网站中。2017 年,该漏洞被发现并公布,引起了广泛关注。Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE),二者可以连接原创 2024-09-20 19:31:23 · 1132 阅读 · 0 评论 -
CVE-2015-1635-HTTP远程代码执行漏洞复现
CVE-2015-1635 是一个严重的安全漏洞,涉及 HTTP 远程代码执行原创 2024-09-17 20:36:10 · 927 阅读 · 0 评论 -
基于隐写术来防止敏感数据被盗用实验
隐写术是一种将秘密信息隐藏在(甚至是在)原本平凡的、非秘密的文件或其他媒体上的手段,以避免被发现。它来自希腊语的“steganos”,意思是“覆盖”或“隐藏”,以及“graph”,意思是“书写”,所以也被称为“隐藏的写作”。原创 2024-09-16 22:26:41 · 1027 阅读 · 0 评论 -
【Linux运维笔记】—Samba服务设置主机访问控制与用户账号映射配置
Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。原创 2024-09-14 18:57:44 · 1131 阅读 · 0 评论 -
【Linux运维笔记】—Samba服务之使用PAM实现用户和主机访问控制
Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源原创 2024-09-14 18:26:39 · 544 阅读 · 0 评论 -
【Linux运维笔记】—DNS配置域名转发实验
DNS 域名转发是一种将对特定域名的查询请求转发到其他 DNS 服务器进行解析的技术原创 2024-09-14 18:02:49 · 1211 阅读 · 0 评论 -
Windows环境使用qemu虚拟化本地开启img&qcow2镜像环境
QEMU(Quick EMUlator)是一款开源的虚拟化软件,能够模拟多种硬件平台,并支持多种虚拟化技术,如 KVM(Kernel-based Virtual Machine)加速。刚安装完的时候,你们应该会显示这款网卡连接状态是断开的。那么这里我们需要把我们Windows本地环境上网的那块网卡共享给这块新安装的网卡。安装 QEMU: 解压下载的文件到您选择的目录,并确保路径添加到系统的环境变量中。因为我们安装的那张网卡是与本地widnows的上网网卡是共享的,所以我们开启的环境也是能够连通网络的。原创 2024-09-05 23:05:32 · 1079 阅读 · 0 评论 -
【免费考证】HarmonyOS应用开发者高级认证考试详细流程
在数字化浪潮席卷全球的今天,信息技术以其独特的魅力引领着社会进步的脚步。作为新一代智能终端操作系统,HarmonyOS以其独特的分布式技术,为万物互联提供了强有力的支撑,也赋予了开发者无尽的创意空间。对于有志于投身应用开发的我们来说,掌握HarmonyOS的开发技术,无疑是把握未来科技发展趋势、提升自身竞争力的关键所在。原创 2024-09-05 13:37:15 · 1456 阅读 · 0 评论 -
软件测试奇技淫巧—测试用例的设计方法总结
软件测试奇技淫巧—测试用例的设计方法总结错误推测方法因果图方法判定表驱动分析方法正交实验设计方法功能图分析方法场景设计方法。原创 2024-08-29 00:55:12 · 663 阅读 · 0 评论 -
Windows找不到文件‘mstsc‘的解决方法
mstsc 是 Windows 系统中的“远程桌面连接”程序的可执行文件。它允许用户远程访问另一台计算机的桌面界面。你可以通过输入 mstsc 命令来启动它。原创 2024-08-19 12:05:30 · 1647 阅读 · 0 评论 -
基于Linux系统之iptables防火墙策略的实验
iptables是Linux系统中的一个强大工具,用来设置、管理和查看防火墙规则。它可以帮助你控制网络流量,决定哪些数据包可以通过,哪些要被丢弃,哪些要转发到其他地方。原创 2024-08-19 01:03:14 · 872 阅读 · 0 评论 -
区块链Truffle开发框架入门教程
Truffle是一个基于以太坊的区块链应用程序开发框架,它提供了一套开发工具和开发环境,方便开发者快速构建和部署智能合约。本文将介绍 Truffle 的一些特点和使用方法。Truffle 团队还开发了 Ganache, Ganache 是一个用于以太坊开发和测试的个人区块链网络,它可以让开发者在本地运行以太坊节点,从而无需连接到公共测试网络或主网进行开发和测试。Ganache还提供了许多有用的功能,如快速挖矿、预设的账户和私钥、以太坊虚拟机调试器等,这些功能可以大大提高开发和测试的效率。原创 2024-08-12 19:03:56 · 74 阅读 · 0 评论 -
Solidity零基础学习心得
2.Contract HelloWorld就是定义合约的内容String是一个字符串的意思Public意思是公开的意思,说明这个字符串是公开的谁都可以访问greet就是变量名称这个就是自己定义的。1.右侧自己输入的那一段意思是需要编译器版本在0.8.13版本之上,所以左侧的版本需要手动选择一个符合要求的(不然就是红色报错)这个基本的语法逻辑跟Java是相同的count+=1 意思是count=count+1。1ether等于10的18次方wei(wei是以太坊上的GAS最小的单位)原创 2024-08-09 21:51:40 · 486 阅读 · 0 评论 -
CSDN旺仔Sec的1024天创作纪念日
我觉得把平时学习中复杂的技术问题简单化并理清楚思路是一件很有挑战性的事情。写博客也正是这样的一个过程,它会让我思考如何写才能够让各位观众老爷们看懂某个技术点的复现过程以及思路。2、原创 2024-07-17 15:09:16 · 1040 阅读 · 0 评论 -
Centos搭建Apache SSL服务
SSL(Secure Sockets Layer)是一种安全传输协议,用于在网络上实现加密通信和身份验证。它最初由Netscape公司开发,用于保护Web传输的数据安全性,后来演变为TLS(Transport Layer Security)标准,成为其继任者。原创 2024-07-02 16:09:20 · 888 阅读 · 0 评论 -
【FRP内网穿透】将内网项目穿透至公网
FRP内网穿透是一种通过将本地网络服务暴露到公共网络中的技术。通过使用FRP软件,用户可以将本地网络中的应用程序、服务或资源映射到互联网上,从而实现远程访问。这种技术通常用于远程管理、远程调试、远程办公等场景,提供了便利和灵活性。用户可以通过配置FRP客户端和服务器来实现内网穿透,确保数据传输的安全性和稳定性。原创 2024-06-21 16:47:52 · 1045 阅读 · 0 评论 -
【软件测试】LoadRunner与JMeter工具安装教程
LoadRunner 和 JMeter 都是性能测试工具,用于测试应用程序在不同负载下的性能表现。它们都可以模拟多用户同时访问服务器,以评估系统的性能和稳定性。LoadRunner 是由 Micro Focus 公司开发的商业性能测试工具,具有强大的脚本录制和回放功能,支持多种协议的性能测试,包括 Web、数据库、ERP 等。JMeter 是由 Apache 软件基金会开发的开源性能测试工具,具有灵活的测试计划和强大的图形化分析功能,支持多种应用程序的性能测试。两者的主要区别在于商业性质、支持的原创 2024-06-08 20:55:08 · 1044 阅读 · 0 评论 -
WEBGOAT靶场—Path traversal路径遍历第二关解析
WebGoat是OWASP组织研制出的用于进行Web漏洞实验的Java靶场程序,用来说明Web应用中存在的安全漏洞。其中包括:HTTP拆分攻击、失效访问控制、AJAX安全、身份认证和会话管理、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、注入、安全配置错误等。首先来看看漏洞页面,通过题目提示得知是一道上传文件时遍历路径的题在这个任务中,目标是覆盖文件系统上的特定文件。WebGoat当然关心用户 因此,您需要将文件上传到正常上传位置之外的以下位置。原创 2024-05-03 17:38:36 · 261 阅读 · 0 评论 -
【运维必读】Apache的安全策略-设置虚拟目录和目录权限
其它发布目录称为虚拟目录。指定客户 URL地址,服务将整个发布目录集提交给客户作为一个目录树。找到Alias /icons “/var/www/icons”,将这句替换成“Alias /linux “ /var/www/html/test”。”并将Directory中的路径改为“/var/www/html/test”后保存并退出。在终端输入“vim /etc/httpd/conf/httpd.conf”进入apache服务配置界面。创建一个文件夹,在终端输入“mkdir /var/www/linux”。原创 2024-04-29 15:58:00 · 353 阅读 · 0 评论 -
【运维必读】Apache的安全策略-使用HTTP用户认证
当一个客户端向HTTP服务器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码,然后将用户名及密码以BASE64加密,加密后的密文将附加于请求信息中, 如当用户名为anjuta,密码为:123456时,客户端将用户名和密码用“:”合并,并将合并后的字符串用BASE64加密为密文,并于每次请求数据时,将密文附加于请求头(Request Header)中。HTTP服务器原创 2024-04-29 15:54:09 · 340 阅读 · 0 评论 -
【运维必读】Apache的安全策略-设置主机访问控制
访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。原创 2024-04-29 15:45:36 · 508 阅读 · 0 评论 -
【运维必读】Apache的安全策略-使用特定的用户运行Apache服务器
Apache仍然是世界上用的最多的Web服务器,市场占有率达60%左右。它源于NCSAhttpd服务器,当NCSA WWW服务器项目停止后,那些使用NCSA WWW服务器的人们开始交换用于此服务器的补丁,这也是apache名称的由来世界上很多著名的网站都是Apache的产物,它的成功之处主要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用以及它的可移植性等方面。原创 2024-04-29 15:40:01 · 453 阅读 · 0 评论 -
Bootstrap安装的过程
Bootstrap是一种流行的前端框架,用于快速开发响应式和移动设备优先的网站和Web应用程序。它由Twitter开发,并在2011年开源发布。Bootstrap提供了一组预定义的CSS样式和JavaScript插件,包括网格系统、按钮、表单、导航栏等,使开发者能够轻松地创建现代化和美观的界面。**原创 2024-04-26 15:04:54 · 1062 阅读 · 2 评论 -
Web应用程序漏洞-X-Forwarded-For注入
第二十八步,重新审阅刚刚获取os-shell时的日志,发现sqlmap在网站根目录下放置了一个tmpunjoh.php文件(文件名为随机,请注意),可以用于手动上传文件。可以看到,我们从X-Forwarded-For定义的内容,未经过筛选就执行了SQL语句用于查询该IP地址是否在白名单之内,且。第五步,一分钟后扫描结束,切换至Results标签页,可以看到/admin目录被扫描出来,推测该目录为管理员后台地址。第十六步,在BurpSuite中将X-Forwarded-For的值改为一个单引号(’)尝试。原创 2022-07-20 11:51:04 · 3347 阅读 · 0 评论 -
Node.js CVE-2017-14849漏洞复现过程
Vulhub 是一个专门用于学习渗透测试和网络安全的虚拟靶场平台,其中包含了大量的漏洞环境和实验场景,供安全从业者进行实践和学习。通过 Vulhub,用户可以模拟真实的漏洞环境,并通过实际操作来理解漏洞原理、利用方法以及相应的防御措施。要使用 Vulhub 靶场,你可以按照以下步骤进行操作:获取 Vulhub:你可以从 Vulhub 的官方网站(https://www.vulhub.org/)上获取 Vulhub 的镜像文件或者源代码,并根据需要进行部署。原创 2024-04-20 23:33:46 · 783 阅读 · 2 评论 -
npm(Node Package Manager)常用命令及使用教程介绍
包管理器:npm是一个包管理器,用于安装、管理和发布Node.js模块。模块仓库:npm提供了一个庞大的模块仓库,开发者可以从中查找并安装所需的模块。依赖管理:npm可以根据项目的需要自动解决模块之间的依赖关系,并进行安装。版本管理:npm可以管理模块的版本,允许开发者指定所需的模块版本。脚本执行:npm允许在package.json文件中定义各种脚本命令,并通过npm run来执行这些脚本。原创 2024-04-17 11:45:13 · 319 阅读 · 0 评论 -
Kali Linux配置阿里镜像源
镜像源是指存储在远程服务器上的软件包和文件的副本,用于加速用户对软件包的下载和安装。在软件更新、安装和管理过程中,使用镜像源可以大大提高下载速度,并减轻原始软件仓库服务器的负载。原创 2024-04-10 22:41:43 · 1645 阅读 · 0 评论 -
【网络安全—渗透测试常用名词术语介绍篇】
POC:全称 ' Proof of Concept ',中文 ' 概念验证 ' ,常指一段漏洞证明的代码。EXP:全称 ' Exploit ',中文 ' 利用 ',指利用系统漏洞进行攻击的动作。Payload:中文 ' 有效载荷 ',指成功exploit之后,真正在目标系统执行的代码或指令。Shellcode:简单翻译 ' shell代码 ',是Payload的一种,由于其建立正向/反向shell而得名。原创 2024-02-18 00:23:06 · 2233 阅读 · 0 评论 -
【红队 | 工具篇】资产信息收集工具—Kunyu(坤舆)安装教程
Kunyu(坤舆)的名字来源于地理信息相关的专业领域,它统计了海、陆、空的地理信息。同样的原理也适用于网络空间,包括发现未知和脆弱的资产。Kunyu更像是一个网络空间地图,用于全面描述和展示网络空间资产、网络空间各种元素以及元素之间的关系,以及网络空间和实际空间之间的映射关系。因此,我认为“坤舆”仍然符合这个概念。Kunyu致力于使企业资产收集更加高效,并使更多与安全相关的从业者了解和使用网络空间测绘技术。原创 2024-02-13 14:04:17 · 2226 阅读 · 0 评论 -
【牛客网】Python每日一练—NP25 有序的列表
【代码】【牛客网】Python每日一练—有序的列表。原创 2024-02-08 20:57:13 · 211 阅读 · 0 评论 -
【牛客网】Python每日一练—NP26 牛牛的反转列表
【代码】【牛客网】Python每日一练—NP26 牛牛的反转列表。原创 2024-02-08 20:54:10 · 189 阅读 · 0 评论 -
【CDN绕过篇】部署CDN的网站如何找真实IP
目前很多网站使用了cdn服务,用了此服务 可以隐藏服务器的真实IP,加速网站静态文件的访问,而且你请求网站服务时,cdn服务会根据你所在的地区,选择合适的线路给予你访问,由此达网站加速的效果,cdn不仅可以加速网站访问,还可以提供waf服务,如防止cc攻击,SQL注入拦截等多种功能,再说使用cdn的成本不太高,很多云服务器也免费提供此服务。可以通过互联网络信息中心的IP数据,筛选目标地区IP,遍历Web服务的banner用来对比CDN站的banner,可以确定源IP。原创 2023-04-25 10:33:09 · 6815 阅读 · 0 评论 -
【自动化测试篇 | Python】Selenium安装及八大元素定位方法
Selenium是一个非常流行的自动化测试工具,它支持多种编程语言,如Python、Java等,用于自动化Web应用的测试过程。在使用Selenium进行自动化测试时,元素定位是非常关键的一步,因为我们需要确保能准确地找到页面上的元素,才能对其执行各种操作(如点击、输入文字等)。Selenium提供了多种定位元素的策略。原创 2024-02-06 17:41:08 · 1183 阅读 · 0 评论 -
【Linux | Docker基础篇】CentOS 7 安装 Docker并部署halo博客CMS详细图文教程
Docker 是一个开源的应用容器引擎,允许开发者打包他们的应用及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙盒机制,相互之间不会有任何接口(类似 iPhone 的 app),更重要的是容器性能开销极低。原创 2024-02-05 14:33:43 · 1921 阅读 · 0 评论 -
白盒测试实训—逻辑覆盖-语句覆盖法-参考答案
根据下面的代码段,画出程序流程图,对程序流程图进行分析,设计一组测试用例,满足语句覆盖。根据下面的代码段,画出程序流程图,对程序流程图进行分析,设计一组测试用例,满足语句覆盖。根据下面的代码段,画出程序流程图,对程序流程图进行分析,设计一组测试用例,满足语句覆盖。根据下面的代码段,画出程序流程图,对程序流程图进行分析,设计一组测试用例,满足语句覆盖。根据下面的代码段,画出程序流程图,对程序流程图进行分析,设计一组测试用例,满足语句覆盖。5个语句:S1、S2、S3、S4、S5。原创 2024-02-01 17:05:48 · 2518 阅读 · 0 评论 -
Java语言中类的继承、多态、封装特征知识点
继承、多态和封装是Java面向对象的三大特征,它们是面向对象程序开发的重要环节,如果在程序中使用得当,这三大特性将整个程序的架构变得非常有弹性,同时可以减少代码的冗余性,继承机制的使用可以复用一些定义完好的类,减少重复代码的编写。多态机制可以动态调整对象的调用,降低对象之间的依存关系原创 2024-02-01 17:00:33 · 1213 阅读 · 0 评论 -
自动化测试Lab①—selenium模拟输入账号密码登录QQ空间
Selenium是一个广泛使用的开源自动化测试工具,主要用于Web应用程序的功能测试和自动化。它提供了一系列的API和工具,允许开发人员使用多种编程语言(如Java、Python、C#等)来编写自动化脚本。Selenium WebDriver:它是Selenium的关键部分,用于控制浏览器并直接与Web应用程序进行交互。WebDriver提供了丰富的方法和操作,使开发人员能够模拟用户在浏览器中的行为,例如点击、输入文本、提交表单等。原创 2024-02-01 16:34:18 · 1305 阅读 · 0 评论 -
2024黑龙江省职业院校技能大赛暨国赛选拔赛“GZ031应用软件系统开发”赛项赛题题库
2024黑龙江省职业院校技能大赛暨国赛选拔赛“GZ031应用软件系统开发”赛项赛题题库2024黑龙江省职业院校技能大赛暨国赛选拔赛应用软件系统开发赛项(高职组)赛题第1套目录 竞赛说明模块一:系统需求分析任务1:制造执行MES—质量管理—质检标准(3分)任务2:制造执行MES—质量管理— 生产采样(3分)任务3:制造执行MES—质量管理—质量追溯(3分)任务4:制造执行MES—质量管理—防错管理(3分)任务5:供应链SCM—销售管理—销售订单(3分)任务6:我的任务—供应商审核(3分)任务7:我的任务—出库原创 2023-12-11 21:43:56 · 698 阅读 · 0 评论 -
2023年福建省职业院校技能大赛(高职组)“云计算”赛项样卷
年福建省职业院校技能大赛(高职组)“云计算”赛项样卷第一场次:私有云(50分)某企业拟使用OpenStack搭建一个企业云平台,以实现资源池化弹性管理、企业应用集中管理、统一安全认证和授权等管理。系统架构如图1所示,IP地址规划如表1所示。图1系统架构图表1IP地址规划设备名称主机名接口IP地址说明云服务器1Controllereth0Vlan xeth1自定义自行创建云服务器2Computeeth0Vlan xeth1自定义自行创建云服务器3...原创 2023-12-11 20:22:49 · 987 阅读 · 0 评论 -
第十六届山东省职业院校技能大赛高职组“应用软件系统开发”赛项样题
一级目录为:零件、成品),右半部分数据列表信息包括:编号、物料编码、物料名称、型号、规格、单位、单价、类型、备注、【选择】按钮。4.数据列表上方显示【新建】按钮,点击【新建】按钮后,在弹出的「添加计划排产」对话框中输入计划号(*必填项)、项目、产品、规格、型号、单位、BOM(*必填项)、生产线(*必填项)、工艺(*必填项)、待产数量(*必填项)、已产数量、生产日期、交货日期、状态、备注后点击【提交】按钮可新建生产计划数据并提示“新建成功”字样,若点击【取消】按钮可关闭对话框。状态为已下发时,不可编辑;原创 2023-12-11 19:47:44 · 348 阅读 · 0 评论