- 博客(6)
- 收藏
- 关注
RSS订阅原创 Day 6作业
在原理、攻击方式、目标及防御策略上存在显著差异。1. 原理不同CSRF:CSRF利用网站对用户身份验证的信任,通过伪造用户请求来攻击网站。攻击者构造一个与受信任网站相同的请求,诱导用户在已登录状态下访问该请求,从而达到冒充用户进行非法操作的目的。CSRF攻击主要依赖用户的Cookie或Session等身份验证信息。XSS:XSS则是通过向Web页面注入恶意的Script代码,当用户浏览该页面时,嵌入的Script代码会被执行,从而达到攻击用户或服务器的目的。
2024-09-03 17:10:10
970
原创 Day5 作业
1.SQL注入原理SQL注入(SQL Injection)是一种安全漏洞,它允许攻击者通过插入或“注入”恶意的SQL命令到应用程序的数据库查询中,从而获取对数据库的未授权访问。其基本原理包括:(1).恶意拼接查询:攻击者通过在Web表单的输入域或页面请求中插入恶意的SQL命令,使得这些命令与应用程序原本的SQL语句拼接,从而改变原SQL语句的功能。(2).利用注释执行非法命令:攻击者可以利用SQL注释(如--、#或/**/)来绕过原有的SQL语句的剩余部分,从而执行其注入的恶意SQL命令。
2024-09-02 21:09:08
897
原创 Day 4作业
XSS(跨站脚本攻击,Cross Site Scripting)是一种常见的网络安全攻击方式,主要分为反射型、存储型和DOM型三种。浏览器解析机制是一个复杂的过程,涉及从用户输入URL到最终页面渲染在屏幕上的多个步骤。以下是浏览器解析机制的一个简洁总结:1.URL解析与缓存检查:浏览器首先解析输入的URL,识别出协议、域名、端口(如有)、路径等信息。检查浏览器缓存和系统缓存,看是否有该资源的副本且未过期。如果找到,直接从缓存中加载,避免网络请求。
2024-09-02 08:38:18
815
原创 Day3 作业
原理:在浏览器使用https协议通信时,xray通过将自定义的ca证书发送给客户端,客户端若信任该证书,当客户端尝试与真正的服务器建立HTTPS连接时,Xray可以利用该证书签发各种伪造的服务器证书,作为中间人能够拦截并修改这些通信。通过下载并安装Burp Suite生成的CA证书到浏览器中,浏览器会信任由该CA签发的所有证书,包括Burp Suite伪造的服务器证书,使得BP被客户端信任。爬虫模式是模拟人工去点击网页的链接,然后去分析扫描,和代理模式不同的是,爬虫不需要人工的介入,访问速度要快很多。
2024-08-29 11:29:11
648
原创 Day2 作业
假定某客户机想获知域名为xxx.xyk.com主机的IP地址,域名解析的过程(共使用8个UDP报文)如下:①客户机向其本地域名服务器发出DNS请求报文②本地域名服务器收到请求后,查询本地缓存,若没有该记录,则以DNS客户的身份向根域名服务器发出解析请求③根域名服务器收到请求后,判断该域名属于.com域,将对应的顶级域名服务器dns.com的IP地址返回给本地域名服务器④本地域名服务器向顶级域名服务器dns.com发出解析请求报文。
2024-08-28 15:37:52
747
原创 Day1 作业
具体步骤包括进入路由器的web界面,配置内网IP地址以及映射的内部端口、外部端口和协议,保存设置后使配置生效。端口映射(NAT,网络地址转换)技术允许将内网机器的端口映射到外网IP地址的某个端口上,这样外网用户就可以通过访问这个外网IP地址和端口来访问内网中的特定服务。要求:使用proxy、Intruder、Repater三种模式复现,Proxy模块需要直接修改请求包,并拦截返回包进行截图,Intruder需要使用狙击手、交叉和集束炸弹三种形式复现。然后提示设置好常用的字典,准备好之后爆破。
2024-08-27 22:55:05
327
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人