- 博客(8)
- 收藏
- 关注
RSS订阅原创 web安全入门功法通关秘籍第五天打卡
JavaScript基本语法JavaScript 是世界上最流行的编程语言。这门语言可用于 HTML 和 web,如需在 HTML 页面中插入 JavaScript,使用 之间的JavaScript。脚本可被放置在 HTML 页面的 和 部分中,也可以把脚本保存到外部文件中数据类型:Boolean(布尔)Number(数字)String(字符串)Undefined(未定义)Null(空对象)Object(对象类型)分号用于分隔 JavaScript 语句。通常我们在每条可执行
2020-06-19 21:29:17
221
原创 web安全入门功法通关秘籍第四天打卡
web安全之文件上传漏洞在把文件上传到web服务器时,如果没有对文件进行检查限制,就有可能导致木马进入web服务器,造成控制破坏。** 原因**(1)文件上传时检查不严比如应用在文件上传时根本没有进行文件格式检查,导致攻击者可以直接上传恶意文件。或应用仅仅在客户端进行了检查,而在专业的攻击者眼里几乎所有的客户端检查都等于没有检查,攻击者可以通过NC,Fiddler等断点上传工具轻松绕过客户端的检查。(2)文件上传后修改文件名时处理不当一些应用在服务器端进行了完整的黑名单和白名单过滤,在修改已上
2020-06-17 17:50:46
269
原创 web安全入门功法通关秘籍第三天打卡
今天两小时的课程内容要素过多,简要总结一下,以便接下来的学习主要是有关sql注入的内容1,sql的手工注入通过给服务器提交不正常逻辑的sql语句来达到攻击的方式在URL:id=33 后边加入单引号,发现sql语句报错(可以用来找数据库类型)可以用and 1=1 ??and 1=2来判断注入点是否存在通过order by的报错来猜测字段数sql注入的联合查询 先要让前置的查询差不出结果?id=-33 Union Select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,1
2020-06-12 23:23:32
213
原创 jaCTF WEB(1)
掘安的ctf题headerhttp://149.129.103.121:8001/点开看到 知道怎么看请求头吗?明示了bp抓包看一下找到了jactf{Head3r_h1dE_thHe_f1aG}三秒内计算式子http://149.129.103.121:8002/原来在bugku上也做过构造python脚本来做 import requestss=requests.Ses...
2020-04-16 12:02:20
230
1
原创 BugkuCTF web 输入密码查看flag——never give up
输入密码查看flag看到要输入密码(爆破爆破爆破)。打开bp抓包。爆破(果然弱密码)输入密码得到 flag{bugku-baopo-hah}点击一百万次好像网页崩了(也有可能我太菜了),进不去。。。备份是个好习惯打开网页,一段乱码。好的我看不懂,看源码没线索,抓包,没发现拿御剑扫下后台吧找到了可以看到我要提交key1和key2,他们不相等但是md5处理以后相等参考php漏洞...
2020-04-06 12:19:50
931
原创 bugkuCTF web4~16
web写到16题了,做一个小总结web基础post没有web基础,读了get与post区别与用法用bp抓包设置Content-Type: application/x-www-form-urlencoded~what=flag矛盾num需要不是数字又要等于1,就很奇怪。搜索is numeric函数漏洞php中的判断就很神奇num=1eeee那么num==1还是成立的(就在1后面...
2020-03-29 19:57:17
341
原创 Bugku CTF 杂项 眼见非实际
又是一个上午下载完毕后看到一个叫zip1的文件,第一反应是拿解压软件尝试打开以为这个文件不是zip格式的,扔到winhex里看了一下百度了半天,感觉是标准的zip啊。再回去看文件。试着改了下后缀名…就打开了????打开里面一堆乱码再扔进winhex,发现又是压缩包想改后缀名结果一选中就资源管理器未响应。百度解决。改完后缀名找到里面的内容了一大堆xml文件 一个个打开看找了...
2020-03-27 09:49:43
196
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人