2022/5/1 攻防世界WEB- get_post

最新推荐文章于 2024-08-03 18:56:10 发布
最新推荐文章于 2024-08-03 18:56:10 发布
阅读量306 收藏 4
点赞数
分类专栏: 日常练习 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rayray__/article/details/124533105
版权

  • 题目

  • 思路:相关知识+解题方式

题目:

考察点:HTTP通常使用的两种请求方法

打开场景后:

思路:

好!那么首先根据给的两条线索:使用GET方式以及HTTP的两种请求方法开始学习!

HTTP协议中共定义了八种方法或者叫“动作”来表明对Request-URI指定的资源的不同操作方式,具体介绍如下:

GET:向特定的资源发出请求。

--从服务器下载数据,我们平时看到的 " /?id=xxxx&password=xxxx "就是GET请求的参数,服务器解析了url以后会将数据发送到我们的浏览器上

POST:向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的创建和/或已有资源的修改。

--向服务器上传数据

OPTIONS:返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。

HEAD:向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。

PUT:向指定资源位置上传其最新内容。

DELETE:请求服务器删除Request-URI所标识的资源。

TRACE:回显服务器收到的请求,主要用于测试或诊断。

CONNECT:HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。

使用GET传参:这里通过给URL添加参数      /?变量1=值1&变量2=值2……

这里加上/?a=1

之后出现了 

使用POST传参:使用Hackbar

1.在Firefox浏览器中按F12使用hackbar插件
2.点击Load URL按钮载入当前页面URL
3.勾选Post data,填入变量1=值1&变量2=值2…后点Execute执行

然后打开hackbar Load URL后选择POST data 输入b=2 得到了FLAG

 

 

rayray__
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-web-get_post
wuh2333的博客
03-19 402
攻防世界,请求方法,get, post
攻防世界-5-1
liebe_u的博客
06-21 195
下载文件发现是一个没有尾缀的文件,扔winhex,emmmm还是没看出来。搜了一圈,发现用xortool。得到key之后,跑一下脚本。
攻防世界06-get_post
weixin_49765221的博客
04-15 1055
get和post的区别,如何做题?
攻防世界--get_post
qq_73611185的博客
09-09 313
由于没有接触过http请求太多的知识点,所以打开题目在线场景说要以get方式提交a=1,的时候有点懵。用来获取数据的,只是用来查询数据,不对服务器的数据做任何的修改,新增,删除等操作。用get方式提交请求相比较而言简单一点,在原来的网站后面添加?get方式:可以理解 为 取 的意思,对应select操作。post请求:post 可以理解 为 贴 的意思。get请求会把请求的参数附加在URL后面。post请求的请求参数都是请求body中。成为ctf全栈之路之web第二题。
攻防世界-get_post
weixin_39579781的博客
03-01 773
G:表示GET请求,缺省POST-d参数用于发送 POST 请求的数据体使用-d参数以后,HTTP 请求会自动加上标头Content-Type : application/x-www-form-urlencoded。并且会自动将请求转为 POST 方法,因此可以省略-X POST。1、通过post方法请求实际使用哪种,看接口需要的是json还是字符串。
攻防世界WEB---Web_python_template_injection
Red Rapefruit
07-24 565
有关python模板注入漏洞的学习
[攻防世界-web】get_post
weixin_73625393的博客
10-29 404
然后点击下图框1,将获取值进行切分,接着点击框2,表示以post方式发送请求,在最下方的白色框内写post参数值,完成后按框4,执行发送请求。然后得出以post的方式发送请求,这里需要用到使用hackbar插件工具,步骤1:点击浏览器右上角的三道横线,从中找到并打开【扩展和主题】步骤三:在出来的结果中,找到并打开HackBar Quantum。在HackBar Quantum界面,点击下图蓝色图标,点击以后会在页面左侧出现,下图左侧内容,就可使用。步骤2:在上方搜索框中,搜索hackbar。
攻防世界-Web-新手-get_post
weixin_45653478的博客
03-11 128
题目描述在线场景题目让我们以get方式提交a=1,所有直接网址+?a=1(GET把参数包含在URL中)之后回车,发现题目又让我们以post方式提交b=2:得到flagfalg为cyberpeace{4b7ac88bb0f7ef23a6d949d3785b41a3}
攻防世界-web-wzsc_文件上传
mlws1900的博客
08-24 3740
1、网站允许上传任意文件,然后检查上传文件是否包含Webshell,如果包含删除该文件。2、网站允许上传任意文件,但是如果不是指定类型,那么使用unlink删除文件。在删除之前访问上传的php文件,从而执行上传文件中的php代码。服务器获取文件>>>保存上传临时文件>>>重命名移动临时文件。可以看到shell已经被上传,用蚁剑连接。上传一个空内容的jpg文件,上传成功。打开环境,很简单的上传界面。1. 文件上传过程介绍。例如:上传文件代码如下。此为需要上传的文件内容。利用条件竞争文件上传。
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 7427
攻防世界 -- very_easy_sql
XCTF攻防世界web.doc
09-19
【XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
常见Web安全漏洞的实际案例和攻防技术
02-15
### 常见Web安全漏洞的实际案例和攻防技术 #### 一、SQL注入攻击与防范 **实际案例** 在Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过向应用程序发送恶意SQL代码来操纵数据库。例如,考虑一个简单的...
web-hacking-101
04-25
了解HTTP请求方法(如GET、POST、PUT等)以及HTTP头信息如何影响数据传输,对于理解Web应用的工作原理至关重要。此外,你还将接触到URL编码与解码、Cookie管理等关键概念。 接下来,教程会引导你探索常见的Web漏洞...
一句话的艺术-web提权.pdf
01-25
总的来说,这个主题深入探讨了在高度安全环境下的网络攻防战,特别是在Web提权方面,如何巧妙地利用一句话木马避开安全软件的检测。这需要对Web编程语言、安全检测机制以及编码技术有深入的理解。同时,这也警示了...
“微软蓝屏”事件暴露了网络安全哪些问题?
2302_80152430的博客
08-03 207
例如,电力系统的故障会波及到依赖电力的通信网络和制造业,而医疗设备的故障则直接影响到患者的健康和生命安全。因此,技术领域需要不断完善系统的韧性,加强风险管理和质量控制机制,确保系统的稳定性和安全性。随着信息技术的普及,公众对网络和服务中断的容忍度越来越低,这就要求各行各业不仅要保障自身系统的稳定运行,还要加强与客户的沟通和透明度。4. 自动化测试与持续集成:使用自动化测试工具,定期运行测试用例,提高测试效率和覆盖率,同时实施持续集成策略,确保每次代码变更都经过自动化的构建和测试。
【网络安全】|vmware网络适配器模式-NAT 模式、桥接模式、仅主机模式
最新发布
yangdan_jiayou的博客
08-03 92
1、桥接模式(Bridged Network),在桥接模式下,虚拟机会通过宿主机的物理网络适配器直接访问网络,像是局域网中的其他设备一样。在 VMware 的仅主机模式(Host-Only Networking)中,VMnet1 通常作为虚拟网络的一个接口,它。即:虚拟机配置为主机模式(Host-Only),这意味着虚拟机可以与宿主机(物理机)进行通信,但无法直接访问外部网络。2、网络地址转换模式(NAT),在 NAT 模式下,虚拟机会通过宿主机的网络连接访问外部网络,宿主机会充当中介。
web安全之简要sql注入
weixin_73185660的博客
08-01 848
举例:select * from users where id=-1 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='这里写数据库名称'如果是mysql5.0以上,则存在information_schema,其中存储所有数据库名,表名,列名的数据库,也相当于可以通过查询它获取指定数据库下面的表名或列名信息。如果是1=1,那么就是真且真,结果为真。
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 980
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞执行恶意代码或读取敏感文件。 文件包含漏洞分为本地文件包含(Local File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)两种类型。LFI漏洞发生在应用程序尝试包含本地文件时,而RFI漏洞则允许攻击者通过远程服务器包含外部文件。 为了防止文件包含漏洞,开发人员应该遵循以下最佳实践: 1. 永远不要信任用户输入。对用户提供的文件名、路径或URL进行严格的输入验证和过滤。 2. 使用白名单机制限制可包含的文件范围。只允许应用程序包含预定义的合法文件,而不是用户可控制的任意文件。 3. 避免使用动态包含,尽量使用静态包含。如果必须使用动态包含,确保只包含可信任的文件。 4. 对于本地文件包含漏洞,限制访问文件系统的权限。确保应用程序只能访问必要的文件,并将敏感文件放在可访问性受限的目录下。 5. 对于远程文件包含漏洞,禁止从远程服务器包含文件,或者使用安全的方法验证和限制远程文件的来源。 6. 定期更新和修补应用程序的漏洞,以确保及时修复已知的文件包含漏洞和其他安全问题。 这些是一些常见的防范文件包含漏洞的方法,但在实际开发过程中,还需要根据具体情况采取其他安全措施来保护应用程序免受攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值