- 博客(17)
- 收藏
- 关注
RSS订阅原创 HTML基础标签与框架的使用(<ul>与<ol>标签 无序列表与有序列表)
1.1、<ul>标签的定义<ul>标签被定义为无序列表<ul>标签通常与<li>标签一起使用,在使用<li>标签时通常会加入<a>标签用于跳转2.1、<ol>标签定义<ol>标签定义为有序列表<ol>标签通常与<li>标签一起使用,在使用<li>标签时通常会加入<a>标签用于跳转3.1、<frameset>标签的定义<frameset>标签定义一个框架集<frameset>元素用来组织一个或者多个<frame>元素。每个<frame>有各自独立文档。
2026-05-03 14:39:31
220
原创 <a>标签、<img>标签、<table>表格的使用
1.1、<a>标签的定义<a>标签定义为超链接,用于从一个页面链接到另一个页面,<a>标签需要<href>指定跳转链接2.1、<img>标签的定义<img>元素向网页中嵌入一张照片3.1、<table>定义<table>标签:在网页中嵌入一个表格
2026-05-02 21:22:58
302
原创 HTML<input>标签类型
延续上文【"type="file"】用于文件上传注意文件上传需要将from表单中的<enctype>标签属性改为【multipart/from-data】<form method="get" action="demo_form.php" enctype="multipart/form-data"> <input type="file" name="file"> <input type="submit" value="提交"/> </form>
2026-05-01 19:34:28
335
原创 HTML基础from表单与input标签
2、input标签2.1、<input>标签使用说明<input>标签规定了可以再其中输入数据的输入字段(可以在可输入数据中输入的文字类型,例如:数字、字母、文字等)。<input>元素在<from>元素中使用,用于声明允许用户输入数据input控件(在<from>中使用,有<input>标签后可以再此输入数据)。输入字段可通过多种方式改变,取决于type属性。
2026-04-30 19:58:06
324
原创 HTML基础标签学习
<!DOCTYPE html><html> <head> 头部信息写入 <meta charset="utf-8"> 网站识别编码<title></title> 浏览器头部识别文字</head> 头部信息结束<body> 正文的写入</body></html>
2026-04-20 16:29:31
183
原创 基于Windows客户端渗透
在我们无法突破对方的网络边界时,往往需要使用客户端渗透这种方式对目标发起攻击,比如我们向目标发一个含有后门的程序,或者是一个word文档,pdf文件。想要达到效果同时也要利用好社会工程学,来诱惑受害者执行恶意程序。由于有杀毒软件,所以我们可以利用颜色网站或者免杀来躲避查杀。免杀可以通过修改二进制特征字符或者进行加密。
2023-01-26 16:44:09
651
原创 基于office渗透(MS10-087 Office(word)渗透攻击)
如果用户打开或预览特制的RTF电子邮件,则最严重的漏洞可能允许远程执行代码。成功利用这些漏洞中的任何一个的攻击者可以获得与本地用户相同的用户权限。与使用管理用户权限进行操作的用户相比,将其帐户配置为在系统上具有较少用户权限的用户受到的影响较小。低版本的word版本会出现RTF文件漏洞。漏洞:microsoft word中的RTF分析器中的pFragments属性容易受到栈缓存区溢出攻击。
2023-01-26 16:43:13
1299
原创 基于word文档的客户端渗透(简单易懂,小白可学)
VBA是基于Visual Basic发展而来的,与Visual Basic具有相似的语言结构。使用VBA可以完成很多事情,基于Excel、Word的VBA小程序不计其数。宏病毒在Word中引入宏之后出现的。目前Office 是较为流行的编辑软件,并且跨越了多种操作系统,宏病毒利用这一点得到了大范围的传播。
2023-01-26 16:39:06
538
原创 OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解(小白可懂,简单详细)
OpenSSL“心脏出血”漏洞的问题出现在openSSL处理TLS心跳的过程中,TLS心跳的流程是:A向B发送请求包,B收到包后读取这个包的内容(data),并返回一个包含有请求包内容的响应包。请求包的内容(data)中包含有包的类型(type)和数据长度等信息。
2023-01-26 16:18:45
16237
4
原创 DVWA——CSRF漏洞
首先进入初级页面我们知道这是一个修改密码的,当我们输入密码进行修改后,提示修改成功后,我们会发现这也是一个get型提交。那我们就试试直接在地址栏中修改内容,看能否执行成功。(修改内容后,我们复制链接重新打开一个界面,然后输入网址进入页面,出现下图,要注意的是我们必须使用同一个浏览器,因为在访问页面时通常存在cookie认证,否则即使点击了恶意链接也没用。
2023-01-14 16:51:20
521
原创 什么是CSRF(简单易懂,有逻辑)
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。CSRF攻击的核心是伪造请求,识别这种的攻击的重点就是判断当前操作是否伪造;
2023-01-14 16:37:40
2921
原创 永恒之蓝 之后渗透阶段
数据执行保护 (DEP) 有助于防止电脑遭受病毒和其他安全威胁的侵害。应用会留出一部分电脑内存用于暂存数据,同时留出另一部分内存用于暂存应用使用的指令。 黑客可能试图诱使应用运行(也称为执行)放置在电脑内存中伪装成指令的有害数据。 这可能会让黑客得以控制你的电脑。DEP 可以防止应用运行用于暂存指令的那部分内存中的数据,从而保护电脑。 如果 DEP 发现某个运行此类数据的应用,它将关闭该应用并通知你。与防病毒程序不同,硬件和软件实施 DEP 技术的目的并不是防止在计算机上安装有害程序。 而是监视您的已安装程
2023-01-12 16:49:54
211
原创 ms17-010 永恒之蓝
什么是永恒之蓝永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。
2023-01-12 16:30:03
6072
2
原创 Web之XSS
(1)输入在标签间的情况:测试是否被过滤或转义,若无则直接(2)输入在 script标签内:我们需要在保证内部JS语法正确的前提下,去插入我们的 payload。如果我们的输岀在字符串内部,测试字符串能否被闭合。如果我们无法闭合包裹字符串的引号,这个点就很难利用了可能的解决方案:可以控制两处输入且\可用、存在宽字节(3)输入在HTML属性內:首先査看属性是否有双引号包裏、没有则直接添加新的事件属性;
2023-01-09 18:55:20
556
原创 DVWA——SQL注入
可以看出,点击“here to change your ID”,页面自动跳转,防御了自动化的SQL注入,分析源码可以看到,对参数没有做防御,在sql查询语句中限制啦查询条数,可以通过burpsuit抓包,修改数据包实现绕过。1.在MYSQL5.0以上版本中存在自带数据库information_schema,他是一个存储所有数据库名,表明,列名的数据库,相当于可以通过查询此库获得相应信息。根据low关卡知道存在SQL注入,这里就不多演示,我们从爆数据库开始。确定显示的位置(SQL语句查询之后的回显位置)
2023-01-08 16:14:04
2771
原创 SQL注入
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
2023-01-08 15:56:57
1818
4
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人