- 博客(48)
- 收藏
- 关注
RSS订阅原创 XSS-Jquery.html()+DOM破坏
利用了浏览器对HTML和CSS解析的容错性。巧妙地利用了嵌套的和标签,让过滤器漏掉了恶意代码。通过混淆和编码的手段避开了部分过滤机制,使得恶意代码最终在用户的浏览器中执行。这是一种典型的基于XSS的攻击,展示了如何通过不同方式绕过安全措施执行JavaScript代码。
2024-08-26 12:15:36
550
原创 XSS-DOM
我们可以通过这种方式去创建或者覆盖 document 或者 window 对象的某些值,但是看起来我们举的例子只是利用标签创建或者覆盖最终得到的也是标签,是一个HTMLElment对象。可以明显的看到这是个DOM XSS,用户的输入会构成一个新div元素的子结点,但在插入body之前会被移除所有的属性。但是对于大多数情况来说,我们可能更需要将其转换为一个可控的字符串类型,以便我们进行操作。最内层的svg先触发,然后再到下一层,而且是在DOM树构建完成以前就触发了相关事件。先注释掉过滤代码,此时正常弹窗。
2024-08-18 18:22:45
821
原创 SQL注入-手工注入
是一个特殊的数据库,它包含了关于MySQL服务器上所有其他数据库的元数据。这些元数据包括了数据库名、表名、列名、索引信息等。通过结果可知当前security库下有四张表,并且users表最有可能存放用户信息。根据结果可判断出该注入为字符型注入,且该页面存在回显,所以我们可以使用联合查询。是一个信息库,它提供了一种查询数据库结构的方式,而不需要访问实际的数据。通过结果可知当前表所处的数据库是security,版本是5.7.26。通过改变SQL语句,经测试发现此此表有3列。在MySQL数据库中,
2024-08-08 11:23:00
711
原创 Python-5-迭代器生成器
方法返回了一个生成器表达式,它会产生一个从0到 stop-1 的整数序列。每次 for 循环请求下一个值时,生成器就会。提示:for循环可以遍历的对象是可迭代对象,内部可以通过__iter__()魔法方法获取遍历数据的迭代器。range函数不包含结束索引本身,因此self.stop+1,最终打印0~100。循环中,生成器对象被迭代,每次迭代都会执行生成器方法,直到遇到。语句,此时生成器方法暂停并返回。提示2:yield关键字。指定的上限,然后抛出。
2024-05-18 15:28:25
314
1
原创 Python_4-对象序列化操作
marshal模块适合于快速序列化和反序列化Python内置数据类型,但安全性较低,不支持自定义对象。shelve模块提供了一个简单易用的字典接口,支持自定义对象,但速度较慢,且依赖于dbm模块。在实际应用中,选择哪个模块取决于具体的需求和场景。如果数据安全性和自定义对象支持是关键因素,shelve可能是更好的选择。如果速度和性能是主要考虑,marshal可能更适合。不过,对于更复杂的数据持久化需求,可能需要考虑其他更专业的数据库解决方案。
2024-05-06 19:31:32
367
原创 Python_4-远程连接Linux
在系统管理与自动化运维中,SSH(Secure Shell)是一个常用的协议,用于安全地访问远程计算机。Python提供了一个名为paramiko的库,它使得通过SSH进行远程操作变得简单。本文将展示如何使用paramiko库实现远程Linux主机的命令执行和文件上传。实现python编写代码远程登录linux主机,执行一条命令ls。实现python编写代码远程给linux主机上传一个文件。Linux终端中验证。
2024-05-06 17:59:30
366
1
原创 Python_3
自动化是提高效率的关键。通过这个简单的Python脚本,我们不仅能够快速获取文件的树形结构,还可以方便地与他人分享这一信息。这种方法在处理大型项目或需要频繁报告文件状态的场合尤其有用。希望这篇文章能够帮助你更好地管理你的文件,并提高你的工作效率。如果你有任何问题或建议,请随时在评论区交流。请注意,这篇文章是一个示例,你需要根据实际情况调整代码和文章内容。在分享代码时,请确保遵守相关的隐私和安全规范,不要泄露任何敏感信息。
2024-05-06 17:20:02
375
原创 Python_2
本文探讨了Python中的偏函数(Partial Function),它通过实现,允许我们固定某个函数的一个或多个参数,从而简化调用。
2024-04-23 22:42:13
741
原创 python_1
本文介绍了如何使用 Python 创建一个简单的学生管理系统。通过这个系统,用户可以方便地进行学生信息的增删改查操作。这个系统可以作为学习 Python 编程和字典数据结构的一个实用示例。
2024-04-22 22:17:05
314
原创 安全防御-第六次
应用内容的过滤--- 比如微博或者抖音提交帖子的时候,包括我们搜索某些内容的时候,其事只都是通过HTTP之类的协议中规定的动作来实现的,包括邮件附件名称,FTP。DPI --- 深度包检测技术--- 主要针对完整的数据包(数据包分片,分段需要重组),之后对数据包的内容进行识别。代理扫描--- 文件需要全部缓存--- 可以完成更多的如解压,脱壳之类的高级操作,并且,检测率高,但是,效率较低占用资源较大。DFI --- 深度流检测技术--- 一种基于流量行为的应用识别技术。--- 增加检测的精准性。
2024-02-27 17:25:34
1359
原创 防御保护总结
网络空间的概念,最初是2003年由美国提出,定义为信息基础设施构建的相互依赖网络。网络空间是继海、陆、空、天之后的第五大人类活动领域。
2024-01-31 13:07:59
574
原创 防御保护-第一天
网络安全:计算机网络环境下的信息安全。2003年美国提出网络空间的概念--- 一个由信息基础设施组成的互相依赖的网络。我国官方文件定义:网络空间为继海,陆,空,天以外的第五大人类活动领域企业面临的网络风险或者网络威胁主要有以下几种形式:1、网站入侵、网页内容篡改2、数据泄露3、网络勒索4、分布式拒绝服务攻击。
2024-01-22 21:14:29
1022
原创 HTML作业1
省份为下拉框,名称为 province,选项的键-值对为 Key:陕西省,value:shaanxi;自我介绍为多行文本框,名称为 intro,宽 25,高 5,默认值为“这个家伙什么也没留下”。用户名为文本框,名称为 UserName,长度为 15,最大字符数为 20。密码为密码框,名称为 UserPass,长度为 15,最大字符数为 20。爱好是三个多选按钮,名称为 like,值分别为写作、听音乐、体育。性别为两个单选按钮,名称为 sex,值分别为男和女,男默认选中。二、工商银行电子汇款单。
2023-12-14 16:57:21
377
原创 数据库第四次
Redis 主从复制原理是Redis中的数据复制机制,其中一个Redis服务器(主节点)将数据复制到一个或多个其他Redis服务器(从节点)。悲观锁:假设并发访问会导致冲突,在访问数据前先进行加锁,其他线程必须等待锁释放。数据库中的行级锁就是一种悲观锁的例子。CAP 是分布式系统中的三个关键属性的缩写:一致性、可用性、分区容忍性。乐观锁和悲观锁是处理并发访问数据的两种不同方式的锁定机制。maxmemory:设置Redis的最大内存使用量。主节点将数据发送给从节点,从节点接受并应用这些数据。
2023-09-24 17:24:47
46
原创 数据库第四次
Redis 主从复制原理是Redis中的数据复制机制,其中一个Redis服务器(主节点)将数据复制到一个或多个其他Redis服务器(从节点)。悲观锁:假设并发访问会导致冲突,在访问数据前先进行加锁,其他线程必须等待锁释放。数据库中的行级锁就是一种悲观锁的例子。CAP 是分布式系统中的三个关键属性的缩写:一致性、可用性、分区容忍性。乐观锁和悲观锁是处理并发访问数据的两种不同方式的锁定机制。maxmemory:设置Redis的最大内存使用量。主节点将数据发送给从节点,从节点接受并应用这些数据。
2023-09-24 17:23:02
50
原创 数据库第三次
第二范式(2NF):在满足第一范式的基础上,确保非主键列完全依赖于表的候选键(候选键是可以唯一标识每一行的一组列)。隔离性:多个事务可以并发执行,但它们之间应该是相互隔离的,一个事务的执行不应影响其他事务,直到事务提交后才对其他事务可见。一致性:事务执行前后,数据库从一个一致的状态转换到另一个一致的状态。串行化:提供最高的隔离级别,确保事务之间完全隔离,不会出现任何并发问题,包括脏读、不可重复读和幻读。原子性:事务是一个不可分割的操作单元,要么全部执行成功,要么全部失败回滚,不存在部分执行的情况。
2023-09-22 19:52:26
48
原创 数据库第三次
第二范式(2NF):在满足第一范式的基础上,确保非主键列完全依赖于表的候选键(候选键是可以唯一标识每一行的一组列)。隔离性:多个事务可以并发执行,但它们之间应该是相互隔离的,一个事务的执行不应影响其他事务,直到事务提交后才对其他事务可见。一致性:事务执行前后,数据库从一个一致的状态转换到另一个一致的状态。串行化:提供最高的隔离级别,确保事务之间完全隔离,不会出现任何并发问题,包括脏读、不可重复读和幻读。原子性:事务是一个不可分割的操作单元,要么全部执行成功,要么全部失败回滚,不存在部分执行的情况。
2023-09-22 19:49:34
38
原创 数据库第二次
触发器是一种数据库对象,它是与数据库表关联的存储过程,可以在表上执行插入(INSERT)、更新或删除操作时自动触发,用于实现数据完整性约束、审计跟踪、日志记录等功能。CREATE TRIGGER 触发器名称 BEFORE|AFTER 触发事件 ON 表名 FOR EACH ROW。2:创建INOUT参数类型存储过程==>查询指定班级的学生人数.3:创建有参有返回值的存储函数==>根据学生名返回学号。1:什么是触发器并写出创建触发器的语法.
2023-09-20 20:27:29
41
原创 数据库第一次
外连接: 包括两个表中的所有行,匹配的行也包括在结果中,没有匹配的行用NULL表示。外连接可分为左外连接、右外连接和全外连接,具体取决于需要的结果。count(*): 同样计算行数,效果与count(1)相同,会统计表中的所有行。1_count(1),count(*),count(列名)的区别和联系?内连接: 返回两个表中满足连接条件的匹配行,没有匹配的行不包括在结果中。count(列名): 统计指定列中非空值的数量,只计算包含非空值的行。count(1): 计算每一行,不论数据内容,都计为1,计算行数。
2023-09-16 23:39:18
30
原创 HCIP第五天
1、R4为ISP,其上只能配置IP地址;R4与其他所有直连设备间使用公有IP;3、整个OSPF环境IP地址为172.16.0.0/16。2、R3—R5/6/7为MGRE环境,R3为中心站点。5、减少LSA的更新量,加快收敛,保障更新安全。4、所有设备均可访问R4的环回;
2023-08-03 09:39:32
29
原创 rhce 8
2、找出"netstat -tan”命令的结果中,以‘LISTEN’后跟0或多个空白字符结尾的行。 4、删除/etc/fstab文件中所有以#开头,后面至少跟一个空白字符的行的行首的#和空白字符。 5、统计出apache的access.log中访问量最多的5个IP。 3、在/etc/fstab文件中不以#开头的行的行首增加#号。 1、显示/etc/passwd文件中以bash结尾的行;正则表达式和文本三剑客。
2023-04-20 00:02:24
50
原创 RHCE第二天
2.配置ssh: 修改端口号为2222,且禁止root用户远程登录(以普通用户可以登录成功)同步时间(注意包含意外情况,如果不能上外网,不能从阿里云同步时间的情况)1.配置chrony时间服务器,确保客户端主机能和服务主机同步时间。第二台机器IP修改为192.168.204.128。第一台机器IP192.168.204.129。两台机器:第一台机器作为时间服务器从。第二台机器从第一台机器同步时间。禁止root用户远程登录。
2023-03-08 14:15:44
48
原创 RHCE第一天
4.指定在每天凌晨4:00将该时间点之前的系统日志信息备份到个目录下(/var/log/messages ),备份后日志文件名显示格式logfileYY-MM-DD HH-MM。指定在2022/08/26 09:00将时间写入testmail.txt文件中。crontab(循环执行的例行性工作),每隔一定的周期就需要执行一次。atd(单一执行的例行性工作),仅处理执行一次就结束了。atd和crond两个任务管理程序的区别。
2023-03-07 00:01:28
42
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人