- 博客(5)
- 问答 (1)
- 收藏
- 关注
原创 群相册制作(1)
从零开始做一个小程序(1)最近一直在做小程序的逆向和程序分析工作,闲来无事,刚好学一学小程序开发的整个流程,体验一下“全栈工程师”的感觉。目标:制作一个群相册,能实现三大类功能:照片,视频,查看操作记录。大致流程: 整体功能规划,前端设计,后端(逻辑,服务器,域名等),测试。整体功能规划前端设计目的是熟悉整个前后端的交互过程,并不准备在前端投入太多精力。目前的计划如下:1. 采用底部tabBar的方式进行页面的切换,共三个主要页面,分别为相册,视频,修改记录。2. 修改记录页面U
2022-05-05 20:50:13
135
原创 关于DVWA的学习-XSS(DOM)
关于DVWA的学习-XSS(DOM)Background需要的前置知识(仅针对本部分)HTML标签(比如 div, a, h, p, script, form等等)菜鸟教程-HTML简单的JavaScript语法知识DOM相关知识(DOM简单来说就是把网页的HTML看作树结构,JS代码利用document的一系列API可对它进行操作) DOM教程XSS攻击的基本概念low选择语言的界面,没啥特别的,看看网页代码吧。document.location.href: 获取当前页面U
2022-04-23 00:08:38
3425
2
原创 关于DVWA的学习-CSRF
关于DVWA的学习-CSRFBackgroundCSRF(Cross-Site Request Forgery)跨站点请求伪造。相关介绍:CSRF及相关防御手段介绍low说实话,一开始都不知道是干啥的,只看出是用于修改password的界面。点击提交之后,url发生了变化,并且不需要token,因此直接利用这个链接便可以随时修改密码。比如我新开一个tab,输入上面的url,便会提示修改成功:直接使用原链接未免有些明显,可以生成短链接,不那么容易被发现。(短链接生成工具)me
2022-04-21 21:06:22
167
原创 关于DVWA的学习-Brute Force
关于DVWA的学习-Brute Forcelow随便试了一下,账号密码和登录dvwa的一样,登陆成功会显示avatar看了一下PHP源码没有对SQL注入进行防范,本来直接输入 ’ or 1=1#,但应该是由于返回的行数超过1,也不能显示avatar,加一个LIMIT 1即可。medium和low一样,试了一下就登进去了,确实没太懂想考察啥。打开源码看了一下:首先应该是对sql注入进行了一些防范,给引号啥的加了转义字符。比较重要的是,fail的情况多了个sleep函数,应该是防止爆破
2022-04-21 00:23:29
2559
原创 关于DVWA的学习-SQL注入
关于DVWA的学习-SQL注入lowBackground一般的查询语句的结构如下:SELECT column_name FROM table_name WHERE ID=$id我们输入的内容就是填充到id需要先简单介绍一下数字型和字符型注入的基本区别:数字型:输入啥就是啥,比如我输入1,后台的查询语句就是SELECT column_name FROM table_name WHERE ID=1字符型:会给输入套上单或双引号,同样输入1,后台的查询语句就是SELECT column_n
2022-04-20 14:08:10
3674
空空如也
北京理工大学改进的yolov3算法
2019-10-22
TA创建的收藏夹 TA关注的收藏夹
TA关注的人