《图解物联网》--阅读笔记

第1 章物联网的基础知识1 1.1 物联网入门……2 1.1.1 物联网……2 1.1.2 物联网的相关动向……2 1.2 物联网所实现的世界……3 1.2.1 “泛在网络”社会……3 1.2.2 “物”的互联网连接……4 1.2.3 机器对机器通信所实现的事……5 1.2.4 物...

2019-03-28 15:10:30

阅读数 6910

评论数 0

2019-3-16 dvwa学习(16)--JavaScript Attacks JS攻击

DVWA的JS攻击练习是为了帮助用户了解如何在浏览器中使用JavaScript和攻击者如何控制JavaScript实施攻击。 看实例:成功提交success low 界面上尝试一下,输入success 果然不成功,“Invalid token”。 看代码 &...

2019-03-18 16:06:08

阅读数 57

评论数 0

2019-3-14 dvwa学习(13)--File Inclusion文件包含漏洞(含:解决https链接无法打开)

File Inclusion,文件包含漏洞是Web漏洞的一种类型,通常会影响依赖脚本运行的Web应用程序。当应用程序包含可执行代码的路径变量被攻击者控制, 攻击者就可以控制在运行时执行的文件 文件包含漏洞不同于一般的目录遍历攻击,因为目录遍历是获取未经授权的文件系统访问的一种方式,而文件包含漏洞...

2019-03-17 11:59:47

阅读数 44

评论数 0

2019-3-15 dvwa学习(14)--Weak Session IDs

用户访问服务器的时候,在服务器端会创建一个新的会话(Session),会话中会保存用户的状态和相关信息,用于标识用户。服务器端维护所有在线用户的Session,此时的认证,只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使用哪一个Session,浏览器需要把当前用户持有的Session...

2019-03-15 14:32:19

阅读数 68

评论数 0

2019-3-13 dvwa学习(12)--Cross Site Request Forgery (CSRF),跨站点请求伪造

Cross Site Request Forgery (CSRF),跨站点请求伪造,它会让用户在当前经过身份验证的Web应用程序上执行攻击者预订的操作。CSRF攻击专门针对状态更改请求,而不是数据盗窃,因为攻击者无法看到对伪造请求的响应。恶意代码会通过电子邮件或伪装网站,甚至直接链接形式发送给用户...

2019-03-13 15:32:43

阅读数 49

评论数 0

2019-3-9 dvwa学习(11)--Content Security Policy (CSP) Bypass绕过内容(网页)安全策略

Content Security Policy(CSP),内容(网页)安全策略,为了缓解潜在的跨站脚本问题(XSS攻击),浏览器的扩展程序系统引入了内容安全策略(CSP)这个概念。具体内容可以参见《Content Security Policy 入门教程》 在先前的XSS攻击介绍中,主要都是利用...

2019-03-10 20:04:15

阅读数 82

评论数 0

2019-3-9 dvwa学习(10)--command injection命令注入

命令注入攻击是通过有漏洞的应用程序在主机操作系统上执行任意命令进行攻击。当应用程序将不安全的用户提供的数据(表单、cookie、HTTP头等)传递给系统shell时,就可能会发生命令注入攻击。在这种攻击中,攻击者使用的操作系统命令通常以有漏洞的应用程序的权限执行。发生命令注入攻击主要是由于对输入的...

2019-03-09 10:41:03

阅读数 44

评论数 0

2019-3-8 dvwa学习(9)--Brute Force暴力破解(利用Burp suite)

Brute Force,意译就是暴力破解。 dvwa中的界面如下 有过前面sql注入的经验,显然这里是可以尝试用sql代码注入绕过密码的。 不过这里要学的是暴力破解。 暴力破解可以利用Burp suite工具。 low 先用最简单的试验 打开Burp后拦截,界面如下,这个前面介绍过了。 然...

2019-03-08 16:25:37

阅读数 61

评论数 0

2019-3-7 dvwa学习(8)--SQL Injection(blind) SQL盲注--基于布尔和基于时间

什么是SQL盲注? SQL盲注也是sql注入攻击,但是攻击者在注入的页面上看不到注入代码(sql)的实际执行结果。具有漏洞的页面不会显示数据,但是会根据注入恶意代码(逻辑条件)的执行结果显示不同的页面。 这种类型的攻击通常被认为是时间密集型( time-intensive )或者说基于时间的。...

2019-03-07 15:48:09

阅读数 43

评论数 0

2019-3-6 dvwa学习(7)--存储型XSS攻击和XSS攻击总结

什么是存储型XSS攻击(Stored XSS Attacks)? 存储型XSS攻击是指注入的恶意脚本永久存储在目标服务器上的攻击。例如数据库、消息论坛、访问者日志、注释字段等。当受害者请求存储的信息时,它会从服务器中检索恶意脚本。存储的XSS有时也称为持久性(Persistent)或I型XSS。 ...

2019-03-06 11:57:56

阅读数 50

评论数 0

2019-3-4 dvwa学习(6)--反射型XSS攻击

什么是反射型XSS攻击(Reflected XSS Attacks)? 先来解释一下反射型XSS攻击的过程:攻击者把恶意代码注入到正常的URL之中,然后把带有恶意代码的URL通过邮件或者其他网站链接形式发送给用户。当用户被诱骗点击恶意链接、提交精心设计的表单,甚至浏览恶意网站时,注入的代码会传到...

2019-03-04 17:23:20

阅读数 65

评论数 0

2019-3-2 dvwa学习(5)--DOM型XSS攻击

什么是XSS攻击? XSS,Cross-site Scripting ,跨站脚本攻击,是一种注入型攻击, 它会把恶意脚本(malicious scripts) 注入其他网站中。当攻击者使用Web应用程序向不同的最终用户发送恶意脚本(通常以浏览器脚本的形式)时,就会发生XSS攻击。 能让这些攻击...

2019-03-02 22:38:44

阅读数 79

评论数 0

2019-2-28 dvwa学习(4)--sql注入级别impossible

继续把dvwa环境安全级别调整为impossible 观察界面 看上去似乎和low级别没有大的区别,只是浏览器中get方法提交的参数多了一个。 impossible.php代码如下 <?php if( isset( $_GET[ 'Submit' ...

2019-02-28 14:56:40

阅读数 80

评论数 0

2019-2-26 dvwa学习(3)--sql注入级别high和session

2019-2-26 dvwa学习(3)–sql注入级别high 继续把dvwa环境安全级别调整为high 观察界面 high级别页面,点击"here to change your ID",会打开另外一个网...

2019-02-26 17:28:05

阅读数 139

评论数 0

2019-2-19 dvwa学习(2)--Burp suite安装运用,sqlmap的payload简介和数值型注入(级别medium)

在搭建了dvwa环境和初步研究了sql注入(字符型注入)之后,我们继续进阶学习。 把dvwa环境安全级别调整为medium,如下图 查看sql injection页面源码,可以发现提交方式变为post。注:low级别时候是get方式。 &amp...

2019-02-19 21:42:14

阅读数 102

评论数 0

2019-2-17 dvwa学习-环境搭建和sql字符型注入(级别low)

因为要学习sqlmap,所以需要搭一个测试环境。 查了网上http://www.360doc.com/content/13/0614/22/11029609_292922372.shtml,打算搞个dvwa环境。 DVWA全称是Damn Vulnerable Web Application,它...

2019-02-17 18:12:01

阅读数 150

评论数 0

2019-2-16 sqlmap安装和应用

我的环境是Win10家庭版 下载sqlmap sqlmap官网下载zip文件,我下载的文件是sqlmapproject-sqlmap-1.3.2-24-g8fe37f3.zip 解压后,浏览一下doc目录中readme文件,sqlmap requires Python version...

2019-02-16 09:33:49

阅读数 62

评论数 0

2019-2-13 VMware中的Win10pro安装docker问题对应

2019-2-13 在Win10pro版本中使用docker可以安装Docker for Windows Installer。 安装完毕需要注销后重新登录。

2019-02-13 14:05:51

阅读数 82

评论数 0

2019-2-12 虚拟机中安装Win10

2019-2-12 虚拟机中安装Win10 以前在虚拟机上曾经安装过2个系统 虚拟机中安装CentOS 虚拟机中安装Win7 Win7马上要到期了,现在打算再搞个Win10 这次安装打算通过ISO镜像安装。 进入vm虚拟机客户端,在存储上右击鼠标,选择“浏览数据存储”。 在以...

2019-02-12 13:18:49

阅读数 71

评论数 0

2019-2-10 docker中运行tensorflow

2019-2-10 docker中运行tensorflow docker的安装参见Win10家庭版下使用docker 安装和运行tensorflow可以参照以下命令 docker run -it -p hostPort:containerPort TensorFlowImage 默...

2019-02-10 10:27:14

阅读数 61

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭