墨痕诉清风的博客

当传递的是字符串的时候:application/x-www-form-urlencoded。：支持 HTTP 范围请求（Range Requests），用于断点续传。当传递的是对象的时候:application/json。：传统 SOAP API 或 XML-RPC 交互。：传输二进制流数据（如文件下载）。1.axios传递字符串的时候，2.传统的form提交的时候，：分块传输，每块标记字节范围。：原始字节流，无结构化处理。：未知格式文件的上传或下载。：大文件分片下载（如视频）。：传输 XML 格式数据。

User-Agent、Content-Type等只要是http包中存在的都可以进行篡改。在这再说下User-Agent的头注入和Content-Type的头注入。

通过正向代理，大大提高了后续用户的访问速度，使他们无需再穿越Internet，只要从本地Web缓存就可以获取所需要的信息，避免了带宽问题，同时可以大量减少重复请求在网络上的传输，从而降低网络流量，节省资费。当用户收到密码重置邮件后，发现是钓鱼者的网址，且秘钥令牌也已参数id的形式传给给攻击者，此时攻击者可以直接使用受害者的令牌进行密码重置。上述代码的意思是，如果请求的host不是这两个地址发来的，最终会返回403错误信息，而不会请求到更改后的服务器IP。上述代码加入的位置：如下图中的server中。

但是你将不会收到对方的响应，因为在正常的TCP/IP通信中，伪造数据包来源 IP会让发送出去的数据包返回到伪造的IP上，无法实现正常的通信。当你对用户网站进行的爆破或者sql注入的时候，为了防止你影响服务器的正常工作，会限制你访问，当你再次访问时,会提示你的由于你的访问频过快或者您的请求有攻击行为,限制访问几个小时内不能登陆，并且重定向到一个错误友好提示页面。通过sqlmap抛出的信息，可以看到存在sql注入的点是X-Forwarded-For字段，并且爆出了mysql的版本信息和脚本语言的信息。

恶意链接: 攻击者创建一个看似正常的网站或链接，并诱导用户点击。标签切换: 当用户点击链接并在新标签页中打开页面后，攻击者使用 JavaScript 修改该标签页的内容。伪装: 攻击者通过改变网页的外观，使其看起来像用户之前访问过的合法网站（例如银行、社交媒体等）。信息收集: 用户在不知情的情况下输入敏感信息（如用户名和密码），这些信息被攻击者获取。tabnabbing是一种钓鱼攻击漏洞，网上将该漏洞翻译为反向标签劫持攻击，大致原理就是黑客。

简单地讲就是给一个参数赋上两个或两个以上的值，由于现行的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理，而且不同的网站后端做出的处理方式是不同的，从而造成解析错误。这里5318415是我的ID，但将我的actorId替换为对方的ID，会收到“401 Unauthorized”错误，说明此处做了鉴权操作。2、代码层面，编写WEB程序时，要通过合理的$_GET方法获取URL中的参数值，而尝试获取web服务器返回给程序的其他值时要慎重处理，结合其他漏洞的产生进行组合排查。

原因：当我们输入新的密码后，提交到服务端，服务端并没有对当前用户身份进行二次验证，只是简单的获取到用户名或ID以及新密码，从而导致跳过短信验证码验证重置任意账号密码。由于对登录的账号及口令校验存在逻辑缺陷，以再次使用服务器端返回的相关参数作为最终登录凭证，导致可绕过登录限制，如服务器返回一个参数作为登录是否成功的标准，由于代码最后登录是否成功是通过获取这个参数来作为最终的验证，所以。输入新的密码，然后提交到服务端，服务端应对当前用户名、手机号、短信验证码进行二次匹配验证，都为true时，才可以修改成功。

Web对于 HTTP 请求的响应头缺少 X-Content-Type-Options，这意味着此网站更易遭受跨站脚本攻击（XSS）。X-Content-Type-Options 响应头相当于一个提示标志，被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定，而不能对其进行修改，这就禁用了客户端的 MIME 类型嗅探行为。

子域名接管漏洞通常被滥用于以下几个目的：恶意软件分发、网络钓鱼/鱼叉式网络钓鱼、XSS、身份验证绕过等等。由于某些证书颁发机构仅需要域验证，因此也可以轻松生成SSL证书。子域名接管是指注册一个不存在的域名以获得对另一个域名控制权的过程。此过程最常见的情况如下：1. 域名（例如http://sub.example.com）将CNAME记录用于另一个域（例如http://sub.example.com CNAME2. 在某个时间点，到期，任何人都可以注册。

DNS CAA（Certificate Authority Authorization）记录是一种不太常见的DNS记录类型，它主要用于锁定证书颁发机构（CA）列表，以确保只有特定的CA可以为某个域名颁发SSL/TLS证书。CAA记录是保护域名免受钓鱼攻击的安全措施，通过限制哪些CA可以为特定域名颁发证书，减少了证书意外错误发布的风险。在DNS中设置CAA记录后，只有记录中列出的CA才能为域名（或子域名）颁发证书。

HTTP严格传输安全性（HSTS）告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性（HSTS），因为响应中缺少严格传输安全性标头。理想回复响应头因存在：Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。

google，微信，github，gitee上搜黑客的id，也许能发现一些信息。如果实在找不到可以在各大微信群QQ群问，但一般会打草惊蛇。不同的身份对应不同的人分不同的分组，朋友圈内容相对应，提高可信度。如果发现了攻击者在csdn上的账号，可以从csdn的找回密码功能，爆破一下手机号。微信搜索，微信ID可能是攻击者的ID，加好友甚至可以拿到pyq照片。直接通过寻找攻击机上搭载的服务有没有漏洞，或者是有没有弱密码。如果对存在的真实路径进行高危操作，基本上可以判定为真实攻击。1.IP类型：云服务器？

官方定义：点击劫持（也称为界面伪装攻击或UI矫正攻击）是一种网络攻击手段，通过篡改网页或利用其他技术手段，使用户在点击某个链接时，重定向到攻击者控制的网页或执行恶意操作，从而获取用户的隐私信息或进行其他非法活动。通过调整iframe页面的位置，可以诱使用户恰好点击iframe页面的一些功能性按钮上，导致被劫持。创建虚假页面，iframe src=嵌入要欺骗点击的页面，这里要对一下坐标，让虚假的按钮可正好点击到用户要被欺骗的页面按钮。SAMEORIGIN：frame页面的地址只能为同源域名下的页面。

鉴权就是鉴定权限。在公司开发的一些系统中都会有权限的鉴定。不管是app还是网站的项目，都会有登录模块，而只要有登录模块，他有一些功能，肯定是必须要登录之后才能完成了。例如：你在淘宝下单的时候，肯定是要登录的。你每次去做下单的时候，他其实每一次都会去检测你这个用户的信息，是否有效的。所以鉴权是接口每次被调用的时候，都需要做一个事情。API接口直接暴露在互联网上是存在安全风险的，

最近小白一直在学习代码审计，对于我这个没有代码审计的菜鸟来说确实是一件无比艰难的事情。但是着恰恰应了一句老话：万事开头难。但是小白我会坚持下去。何况现在已经喜欢上了代码审计，下面呢小白就说一下appcms后台模板Getshell以及读取任意文件，影响的版本是2.0.101版本。其实这个版本已经不用了，小白也是拿这个来说一下自己理解的php的代码审计。开源的CMS就是舒服，不仅可以对...

是一个 HTTP 请求头，通常在 AJAX 请求中用来标识请求是由 JavaScript 发送的。这个头部信息可以用来防止 CSRF（跨站请求伪造）攻击。当一个请求包含头并且其值为时，服务器可以知道这个请求是一个 AJAX 请求。这样，服务器就可以实施额外的安全措施，例如检查请求的来源是否合法。然而，值得注意的是，尽管可以提供额外的安全性，但它并不是 CSRF 攻击的唯一解决方案。为了实现更强的安全性，应该结合使用其他的安全措施，如 CSRF 令牌。

在cookies中，Expiry是一个属性，用于设置cookie的有效期。它指定了cookie在客户端浏览器中保存的时间。当用户访问一个网站时，服务器会在响应中发送一个包含cookie的文本文件给客户端浏览器。这个文本文件包含了网站设置的cookie属性。Expiry是其中的一个属性，它告诉浏览器在什么时间之后，这个cookie就应该被删除。如果Expiry属性被设置为一个正数，那么cookie将在浏览器关闭后的一段时间内有效，这段时间以秒为单位。

SameSite是Cookie中的一个属性用来限制第三方Cookie，从而减少安全风险。Chrome 51 开始，浏览器的Cookie新增加了一个SameSite属性，用来防止CSRF攻击和用户追踪。Cookie 的 SameSite 属性用来限制第三方 Cookie，从而减少安全风险。Web 前端安全，从影响面看排名前两位的就是XSS 和 CSRF，其基本原理都是攻破了浏览器同源策略的限制。CSRF 漏洞目前的措施一般是验证 referer 或者是用安全 token。

CDP 协议是思科公司独特的发现协议，在思科公司出产的所有路由器和交换机里面都能运行此协议，一台运行 CDP 的路由器或交换机能够得知与它直接相连的邻居端口和主机名信息。也可以得知一些附加信息如：邻居的硬件模式号码及其性能。这样通过CDP的我们能得到相关联的路由器名、路由器端口信息、IOS版本信息、IOS平台信息、硬件版本信息，以及相关的链路信息从而描述出整个网络的拓扑情况。这时候黑客就会利用CDP欺骗攻击会让网络管理员措手不及。两种目标可能遭到CDP欺骗攻击，及应对办法。两种CDP欺骗类型。

VLAN跳频攻击（VLAN Hopping Attack）是一种针对虚拟局域网（VLAN）的网络攻击方法，旨在使攻击者能够跳过原本用于隔离不同VLAN流量的安全限制，访问其他VLAN中的设备和资源。通常，VLAN用于将一个物理网络分割成多个逻辑网络，以限制不同部门、用户组或设备之间的通信。

为了防止仿冒的DHCP Server攻击，可以设置交换机的“信任/非信任”的工作模式。将与合法DHCP服务器直接或间接连接的接口设置为信任接口，其他接口设置为非信任接口。此后，从“非信任（Untrusted）”接口上收到的DHCP回应报文将被直接丢弃，这样可以有效防止DHCP Server仿冒者的攻击。由于DHCP Server和DHCP Client之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。当终端开启DHCP服务时，kali便能开始嗅探。

地址的数据包，意图占满局域网内交换机的。，就是攻击者向局域网内发送大量伪造。地址表往往都具有一定的空间限制，当。地址表被占满后，就无法学习到新的。代码实例（Python）主要破坏局域网可用性。

ARP投毒的逻辑：欺骗目标设备，使其相信我们是它的网关；网络上的每一台设备，都维护着一段ARP缓存，里面记录着最近一段时间本地网络上的MAC地址和IP地址的对应关系。为了实现这一攻击，我们会往这些ARP缓存中投毒，即在缓存中插入我们编造的记录。此时在目标机器上查看网关，可见目标机器的ARP缓存已经被投毒了，其中的网关（192.168.153.2）的MAC地址其实是攻击者的，同时也可以看到攻击者是192.168.153.141，因为它的MAC地址和网关的毒MAC地址是一样的。查看ARP缓存中的网络邻居地址。

在弹出的窗口中填写攻击参数，服务器地址为Kali的IP地址，Start IP和End IP写为非VMnet1中的IP地址，其他参数随意写，此时我们便对windows 10主机分配了一个虚假的ip， 使得其无法正常联网。攻击原理：攻击者通过伪造MAC地址持续大量地向DHCP服务器申请IP地址，直到耗尽DHCP服务器地址池的IP地址，使DHCP服务器无法再给正常的主机分配IP地址，使得正常主机不能访问网络。：转发代理（网关）IP 地址，DHCP 客户端发出请求报文后经过的第一个 DHCP 中继的 IP 地址。

这种程序通常隐藏在具有正常功能的程序中，在不具备触发条件的情况下，逻辑炸弹深藏不露，系统运行情况良好，用户也察觉不到任何异常。识别逻辑炸弹最好的方式是关注计算机的行为，从头到尾了解它的系统，并调查任何感觉奇怪的东西。逻辑炸弹不具传染性，不能自我复制，但触发逻辑炸弹发作的诱因可以存在于逻辑炸弹载体的各个环节，具有不可控制的意外性。此外，虽然有时逻辑炸弹的交付技术与可能使您的计算机感染病毒或其他恶意软件的技术相同，但更多情况下，它们是由对被攻击系统具有特权访问权限的内部人员植入的，因此很难检测到。

DNS缓存投毒又称DNS欺骗，是一种通过查找并利用DNS系统中存在的漏洞，将流量从合法服务器引导至虚假服务器上的攻击方式。与一般的钓鱼攻击采用非法URL不同的是，这种攻击使用的是合法URL地址。DNS缓存中毒如何工作在实际的DNS解析过程中，用户请求某个网站，浏览器首先会查找本机中的DNS缓存，如果DNS缓存中记录了该网站和IP的映射关系，就会直接将结果返回给用户，用户对所得的IP地址发起访问。如果缓存中没有相关记录，才会委托递归服务器发起递归查询。

HTML注入是一种漏洞，一种网络攻击方式，当网页无法清理用户提供的输入或验证输出时，攻击者就可以伪造自己的有效负载，并通过易受攻击的字段将恶意HTML代码注入应用程序，从而修改网页内容，甚至获取一些敏感数据。HTML注入(Hypertext Markup Language Injection)中文意思是“超文本标记性语言注入”，众所周知HTML含有各种标签，如果Web应用程序对用户输入的数据没进行彻底的处理的话，那么一些非法用户提交的数据可能含有HTML其他标签，而这些数据又恰好被。

此外，该矢量利用了直接内置于Windows操作系统中的功能，更重要的是，它与不太安全的Microsoft遗留web技术（如ActiveX）兼容。然而，由于HTML应用程序是在浏览器外执行的，我们可以自由使用浏览器内经常被阻止的传统和危险功能。我们设法收集了我们想要的信息，但清单2中的JavaScript代码向受害者而不是攻击者显示数据。如果创建的文件扩展名为.hta而不是.html，Internet Explorer将自动将其解释为html应用程序，并提供使用mshta.exe程序执行该文件的功能。

eg: [(' 源，目的ip为 10.10.17.31', '10.10.40.63 ，爆破使用的用户名字典为: [system user] ，爆破时间为 1637913145371 ，截至当前累计尝试爆破次数为： 12 ，攻击者机器使用的用户名 root')]输出 判定为攻击失败的时间，源、目的ip、源、目的端口号，用户名字典(如果有)，攻击次数（判定为攻击失败前的攻击次数）输出 攻击成功的时间，攻击成功的元数据 (源、目的ip、源、目的端口号、用户名、密码(如果有)，攻击次数)

目录1. GET2. HEAD3. POST4. PUT5. DELETE6. OPTIONS7. TRACE8. PATCH根据RFC2616第九章说明，http方法的定义有两点：safe and Idempotent，即安全性和幂等性，可以结合这两点对以上方法进行说明1. GET安全、幂等；get请求是用来获取数据的，只是用来查询数据，不对服务器的数据做任何的修改，新增，删除等操作。在这里我们认为get请求是安全的，以及幂等的。安全就是指不影响服务

什么是DRDoS DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形，它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。它的攻击原理和Smurf攻击原理相近，不过DRDoS是可以在广域网上进行的，而Smurf攻击是在局域网进行的。它的作用原理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包如ping请求时，会接到它的回应;如果向本网络的广播地址发送请求包，实际上会到达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的计...

目标服务器没有返回一个X-Frame-Options头。攻击者可以使用一个透明的、不可见的iframe，覆盖在目标网页上，然后诱使用户在该网页上进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击iframe页面的一些功能性按钮上，导致被劫持。添加X-frame-options响应头。赋值有如下三种：（1）DENY：不能被嵌入到任何iframe或frame中。（2）SAMEORIGIN：页面只能被本站页面嵌入到iframe或

X-Forwarded-For(XFF)XFF是header请求头中的一个参数是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。代表了HTTP的请求端真实的IP。X-Forwarded-For: client1, proxy1, proxy2, proxy3//浏览器IP，第一个代理服务器，第二个三个四个等等利用方式1.绕过服务器过滤XFF漏洞也称为IP欺骗。有些服务器通过XFF头判断是否是本地服务器，当判断为本地服务器时，

某天在客户局点巡检时，NTA设备发现了CS的告警：定位了被入侵的主机，观仔本以为只是普通的一次攻防演练的后遗症，深入追查后竟发现其使用了dll劫持技术进行持久化攻击，最终观仔通过联动沙箱确认了入侵事件。直接上溯源过程。溯源NTA设备告警：一般有c2通讯可能会有SYN连接，检查外联SYN连接及对应的进程id：$ netstat -bn|findstr "SYN_SENT"因为考虑到可能是心跳包，所以执行了多次：查看进程id对应的进程：查找进程对应的原始命令：..

域前置”发生在应用层，主要适用了HTTPS协议进行通信，通信中的远程端点原本是被禁止的，通过使用“域前置”技术，让检测器误认为是一个其他的合法地址，进而绕过检测。根据我们的了解，目前针对域前置的最常见的检测方法是在配置一个中间人HTTPS 代理，通常被称为 “SSL Termination”，它的作用是解密和检测通信中所有的加密流量。本文重点介绍一下“域前置”（Domain Fronting，也被意译为“域名幌子”）技术的基本原理和适用场景，国内在这方面的资料不多，抛砖引玉，欢迎大家交流讨论。

背景在攻防博弈这个永久的话题中，永远不会缺少一个重要角色即内网穿透。当渗透测试人员在进入内网，需要扩大战果的时候，往往会遇到内网的一些防护策略，不外乎边界设备、防火墙及入侵检测设备对端口或者数据包的拦截，导致流量无法出网，此时就需要熟练掌握内网穿透技术，从复杂的内网环境中获取稳定的流量交互，从而达到目的。本文针对边界安全设备等对内网端口的屏蔽及数据包的拦截，从不同的网络协议层进行搭建隧道进行绕过，并对不同类型的隧道流量或者日志进行分析，帮助攻击或防守人员从溯源的维度更好的掌握内网穿透技术。.

可以使用find命令来查找，如find /opt -iname "*" -atime 1 -type f 找出 /opt 下一天前访问过的文件。如果找不到任何可疑文件，文件可能被删除，这个可疑的进程已经保存到内存中，是个内存进程。1、查看敏感目录，如/tmp目录下的文件，同时注意隐藏文件夹，以“..”为名的文件夹具有隐藏属性。脚本必须具有可执行权限。此命令可以指定脚本的执行序号，序号的取值范围是 0-99，序号越大，越迟执行。目录下的，当然可以在此目录创建连接文件连接到存放在其他地方的脚本文件。

CPU起飞了最近有朋友在群里反馈，自己服务器的CPU一直处于高占用状态，但用top、ps等命令却一直找不到是哪个进程在占用，怀疑中了挖矿病毒，急的团团转。根据经验，我赶紧让他看一下当前服务器的网络连接，看看有没有可疑连接，果然发现了有点东西：上Shodan查一下这IP地址：反向查找，发现有诸多域名曾经解析到这个IP地址：这是一个位于德国的IP地址，开放了4444,5555,7777等数个特殊的服务端口：其中这位朋友服务器上发现的连接到的是7777端口，

他告诉我，他们利用这个机制，一边猜端口号和询问单号，一边伪装成目标DNS服务器给权威服务器不停地发请求，让权威DNS服务器把目标DNS服务器给短暂“拉黑”，这样就能“拖住”他们双方之间的通信，为自己的攻击争取更大的窗口期。他们准备了一套收银系统、摄像头，但是最终主办方考虑到舞台网络环境复杂，以及可能引起不必要的误会（比如不明真相的吃瓜群众看到收银系统被黑，可能以为是设备有漏洞，或者误以为是支付宝或者微信支付出了漏洞，三人成虎，以讹传讹，相当可怕），于是他们最终决定取消这些展示，仅展示了劫持手机访问网站。

CRLF 指的是回车符(CR，ASCII 13，\r，%0d) 和换行符(LF，ASCII 10，\n，%0a)，操作系统就是根据这个标识来进行换行的，你在键盘输入回车键就是输出这个字符，只不过win和linux系统采用的标识不一样而已。