![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web
think_ycx
这个作者很懒,什么都没留下…
展开
-
jsonp劫持
基础:说说JSON和JSONP,也许你会豁然开朗,含jQuery用例 JSONP 安全攻防技术【技术分享】JSONP注入实战指南 案例:payload:$.ajax({type:"get",url:"http://o2odemo.fanwe.net/mapi/index.php?ctl=synclogin&act=index&login_type=Sina原创 2017-01-31 15:24:29 · 3404 阅读 · 0 评论 -
php本地文件包含&远程文件包含
本地文件包含&远程文件包含原创 2016-04-07 12:49:04 · 7728 阅读 · 0 评论 -
30分钟入门正则表达式 学习笔记
原文有一个问题,在此记录:在负向零宽断言里面,匹配q后面不是u的单词。使用 \b\w*q(?!u)\w*\b 不能解决 qsqu这种情况。即qs已经消耗了负向零宽断言,但是仍然存在qu的这种情况。 学习笔记:\b #元字符 只匹配一个位置\bhi\b #精确查找hi这个单词\bhi\b.*\bLucy\b #hi后面不远处跟着一个Lucy0\d{2}-\d{8} #...原创 2016-05-06 21:05:18 · 737 阅读 · 0 评论 -
一个wooyun正则
<th>([0-9\-]+)</th>[^<]*?<td><a href="([^>]+)">(.*?)</a>[^<]*?<(img src="/images/(credit)?(m[1-3])?)?[^<]*?<(img src="/image原创 2016-05-05 23:24:14 · 1403 阅读 · 0 评论 -
mysql常用sql语句
1.清空所有的元素(恢复主键id =1):truncate TABLE2.更改主键自动更新值:ALTER TABLE 'table_name' AUTO_INCREMENT= 10000;2015-12-2:3.select 'abcdefg' 等价 select 0x41424344454647 通过hex() unhex()转换 ...原创 2015-09-21 22:18:25 · 432 阅读 · 0 评论 -
概念了解:CGI,FastCGI,PHP-CGI与PHP-FPM
原文地址 CGI CGI全称是“公共网关接口”(Common Gateway Interface),HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具,其程序须运行在网络服务器上。CGI可以用任何一种语言编写,只要这种语言具有标准输入、输出和环境变量。如php,perl,tcl等。FastCGIFastCGI像是一个常驻(long-live)型的CGI,它可以...转载 2015-08-14 22:07:13 · 514 阅读 · 0 评论 -
php+mysql 最简单的登录验证
最简单的登录验证。之后可以不断完善,不断练习sql注入,xss等等。 <html><body><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head><form method = "原创 2015-08-13 14:18:28 · 5104 阅读 · 0 评论 -
php+mysql 最简单的留言板
学完了记得动手操作。测试地址(未过滤)<html><body><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head><form method = "post" action原创 2015-08-13 01:07:39 · 3362 阅读 · 2 评论 -
反射型xss偷取cookie(本地验证)
原理反射型xss 为危害之一就是:用户在登录的情况下点击了黑客发送的链接,就会导致该网址的cookie泄露,导致帐号被黑客登录。原创 2015-11-14 22:53:18 · 3180 阅读 · 2 评论 -
利用HTTP-only Cookie缓解XSS
原文地址一、XSS与HTTP-only Cookie简介跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险,微软公司的Internet Explorer 6 SP1引入了一项新的特性。转载 2015-08-15 01:17:28 · 1037 阅读 · 0 评论 -
安全工程师主流技能
如何找到一份安全工程师的工作呢?原创 2015-05-14 13:37:00 · 2290 阅读 · 0 评论 -
sqlmap基于时间盲注判断原理
本文永久链接检测入口:lib/controller/checks.pycheckSqlInjection函数中: elifmethod == PAYLOAD.METHOD.TIME: # Perform the test's request trueResult = Request.queryPage(reqPayload, place, timeBa...原创 2016-08-01 10:54:01 · 10815 阅读 · 0 评论 -
sql注入进阶学习资料汇总
sql注入资源汇总原创 2016-07-28 22:36:22 · 443 阅读 · 0 评论 -
sqlmap payload简单分析(B E T U S)
sqlmap payload简单分析(B E T U S)前言为了让大家看的更清楚,提供本文下载链接吧:下载地址 本文介绍sqlmap在各个场景中的payload格式,简单分析判断的的原理,也是自己学习过程中的记录。在看本文前,建议看一下drops中的其它文章,源码分析,对-v 3 参数显示出来的东西会有比较好的理解。环境B E T U : php+mysql (dvwa)S : asp +原创 2016-05-19 14:55:51 · 10478 阅读 · 0 评论 -
sql注入——资源记录
整理&&总结原创 2015-12-06 22:42:58 · 926 阅读 · 0 评论 -
手工注入
工具注入相信大家都会了,但用工具永远不会得到提高,所以我们还要学会手工注入,网站中使用最多的数据库类型就数ACCESS,SQL Server,MySQL这三个了,我们就以ACCESS为例子给大家讲解手工注入。先找到一个类似http://www.xxx.com/xx.asp?id=xxx的URL(用谷歌搜索),把URL地址复制到浏览器打开,在字段后面加上单引号'看看返回是否正常(至今我也不明转载 2014-10-15 20:11:08 · 719 阅读 · 0 评论 -
php提示undefined index的几种解决方法
虽然可以通过设置错误显示方式来隐藏这个提示,但是这样也有隐患,就是在服务器的日志中会记录这些提示,导致日志文件异常庞大 平时用$_post[''],$_get['']获取表单中参数时会出现Notice: Undefined index: --------;我们经常接收表单POST过来的数据时报Undefined index错误,如下: $act=$_POST['action']; 用...转载 2014-10-22 22:05:41 · 1804 阅读 · 0 评论