Frion_A-CSDN博客

原创快速构建 Egg + Vue + Webpack

报错Error: error:0308010C:digital envelope routines::unsupported，原因是node.js 的版本问题，因为 node.js V17版本中最近发布的OpenSSL3.0, 而OpenSSL3.0对允许算法和密钥大小增加了严格的限制，可能会对生态系统造成一些影响。使用easywebpack-cli 脚手架初始化项目，win+R cmd输入。选择 egg+vue server side render。等待构建完成，在vscode的终端中输入。

2023-04-11 10:55:03 226

原创 express集群 redis管理session时，不同子进程sessionID不同的问题

需要保证session签名一致，否则不同进程间不共享session。

2023-03-24 10:01:26 128

原创后端直接返回二进制图片、前端src显示

只需要给axios设置responseType: “arraybuffer”，然后再解析即可。后端生成一张随机字符串验证码，以二进制图片返回给前端会发现拿到的是一堆乱码。

2023-03-03 11:00:01 482

原创如何解决element ui 表单resetFields 的indexOf报错

官方要求使用resetFields，每个表单项的prop都必填，但实际并不一定用到，于是采用这个方法，每次清除表单之前，判断一下prop内的内容。调用resetFields情况表单的时候总是报这个错。点击去看看是遍历每个表单项，来清空。

2023-03-02 15:03:36 474

转载代码审计方法与步骤

代码审计方法与步骤一、审计前的准备（1）获得源码大多数PHP程序都是开源的、找到官网下载最新的源码包。（2）安装网站在本地搭建网站，一边审计一边调试。实时跟踪各种动态变化。二、把握大局（1）网站结构浏览源码文件夹，了解该程序的大致目录（2）入口文件index.php、admin.php文件一般是整个程序的入口，详细读一下index文件可以知道程序的架构，运行流程，包含那些配置文...

2019-06-17 10:42:14 976

原创第十周作业 1.漏洞越权原理：水平越权，垂直越权 2.php反序列化 3.xxe漏洞原理 4.ssrf漏洞

1.漏洞越权原理及水平越权概述：水平越权演示登陆账号lucy，能在URL上看到用户名是通过URL提交的更改URL中username为lili，就能在登陆lucy的情况下查看到lili的信息垂直越权演示在超级管理员的状态下登陆后，添加账号x再登陆一次普通管理员账号，将之前的POST请求发送到Repeater模块下，将现在登陆态下的cookie覆盖该之前已经退出的超级管理...

2019-06-03 09:24:03 505 1

原创第九周作业 1.不安全的文件下载原理和案例 2.不安全的文件上传原理及客户端绕过案例 3.文件上传漏洞 mime type验证原理和绕过

1.不安全的文件下载原理和案例文件下载漏洞概述：大多数网站都提供了文件下载功能，即用户可以通过点击下载链接，下载到链接所对应的文件，但是如果对下载的文件没有做限制，直接通过绝对路径对其文件进行下载，那么，恶意用户就可以利用这种方式下载服务器的敏感文件，对服务器进行进一步的威胁和攻击。在pikachu平台下进行演示在不安全文件下载中，随意选择一张图片，正常情况下点击图片下的名字就会将图片...

2019-05-13 07:40:54 335

原创第九周作业 1.文件包含漏洞原理及文件本地包含漏洞案例 2.远程文件包含漏洞案例 3.文件包含漏洞防范措施

1.文件包含原理及文件本地包含案例文件包含漏洞概述文件包含分为两类：本地文件包含和远程文件包含本地文件包含指，在通过服务器脚本的函数引入文件时，由于传入的文件没有控制，从而操作了预想之外的文件，导致意外的文件泄露、恶意代码的注入等远程文件包含指，被包含的文件在第三方服务器，然后再加载到本地进行执行包含函数：include()或require()语句可以将php文件的内容插入另一个php...

2019-05-13 07:40:22 379

原创第八周作业 1.XSS盲打 2.XSS绕过 3.XSS绕过之htmlspecialchars()函数 4.XSS防范措施href和js输出

1.XSS盲打XSS盲打就是攻击者在不知道后台是否存在xss漏洞的情况下，提交恶意JS代码在类似留言板等输入框后，所展现的后台位置的情况下，网站采用了攻击者插入的恶意代码，当后台管理员在操作时就会出发插入的恶意代码，从而达到攻击者的目的。在pikachu平台进行演示先在xss盲打栏目下，输入payload，观察到可注入点。现在以管理员的身份登入后台，就会出现弹窗，这就是一个简单的盲打...

2019-05-04 21:01:22 642

原创第八周作业 1.CSRF漏洞概述及原理 2.通过CSRF进行地址修改 3.token是如何防止CSRF漏洞？4.远程命令、代码执行漏洞原理及演示

1.CSRF漏洞概述及原理TIP：较为详细的解释:https://www.cnblogs.com/btgyoyo/p/6195897.html较为详细的文章:https://blog.csdn.net/qq_36119192/article/details/82820115CSRF是什么？怎么理解？CSRF全称Cross-site request forgery，中文名为跨站请求伪造...

2019-05-04 21:01:09 331

原创第七周作业 1.dom型XSS详解及演示 2.cookie获取及xss后台使用 3.反射型XSS(POST) 4.xss钓鱼演示 5.xss获取键盘记录演示

1.dom型XSS详解及演示一、什么是DOM?怎么理解DOM?DOM全称是Document Object Model，也就是文档对象模型。我们可以将DOM理解为，一个与系统平台和编程语言无关的接口，程序和脚本可以通过这个接口动态地访问和修改文档内容、结构和样式。当创建好一个页面并加载到浏览器时，DOM就悄然而生，它会把网页文档转换为一个文档对象，主要功能是处理网页内容。故可以使用 Javasc...

2019-04-21 19:13:28 1886

原创第六周作业 1.SQL inject防范措施 2.sqlmap工具使用案例 3.XSS基本概念和原理 4.反射型XSS(get) 5.存储型XSS 6.安装nmap

1.SQL inject防范措施常见的对应措施有以下几种：代码层面1.对输入进行严格的转义和过滤2.使用参数化（Parameterized）网络层面1.通过WAF设备启用防SQL Inject注入策略（或类似防护系统）2.云端防护（360网站卫士，阿里云盾等）PHP防范推荐方法：PDO预处理——PDO预处理能防止SQL注入的原因没有进行PDO预处理的SQL，在输入SQL语...

2019-04-14 22:44:05 336

原创第五周作业 1.通过sqli进行服务器的远程控制案例测试 2.SQLInject漏洞的之表（列）暴力破解

1.关于演示中出现的问题的解决方案一、数据库开启secure_file_privinto outfile 可以将select的结果写入到指定目录的txt中，但需要数据库开启secure_file_priv。这里来演示怎么开启secure_file_priv。登陆mysql输入 show global variables like '%secure%';（这里已经将secure_file_pr...

2019-04-07 21:22:49 242

原创第五周作业 1.sql盲注原理以及boolean盲注的案例演示 2.sql -base on time盲注的案例演示

1.什么是盲注？盲注就是在sql注入过程中，sql语句执行的选择后，报错的数据不能回显到前端页面（后台使用了错误消息屏蔽方法屏蔽了报错）。在无法通过返回的信息进行sql注入时，采用一些方法来判断表名长度、列名长度等数据后来爆破出数据库数据的的这个过程称为盲注。2.boolean盲注的案例演示基于boolean盲注主要表现：1.没有报错信息2.不管是正确的输入,还是错误的输入,都只显示两种...

2019-04-07 15:31:02 320

原创第四周作业1.虚拟机中安装Kail 2.union注入 3.information_schema注入 4.sql-Inject漏洞手动测试-基于函数报错的信息获取 5.Http Header注入

一、虚拟机中安装KailVMware 14 链接: https://pan.baidu.com/s/1cxwWZ91oAxyFdCqJIS3UNQ 提取码:6vndKail镜像文件种子链接: https://pan.baidu.com/s/1BDa2fiJytF763LoJ0CMDgg 提取码: uara下载完成后，自行百度查找安装方式。安装完成后输入sqlmap -h查看sqlma...

2019-03-31 23:44:38 373

原创第三周作业 1、从数字型注入认识SQL漏洞 2、字符型注入 3、搜索型及xx型输入

1、从数字型注入认识SQL漏洞打开pikachu平台，在SQL-Inject下选择数字型注入。在cmd中输入show databases;查询查询数据库.在这边发现到pikachu的输入库输入命令use pikachu；进入到pikachu的数据库，再输入命令 show tables;再输入命令desc member；查看member这个表的字段再输入由我们自己拼接出的查询语句sele...

2019-03-24 23:00:23 639

原创第三周作业 token防爆破（基于pikachu平台）burp token的暴力破解

一、什么是token？简单的说token是由服务端生成的一串字符串，作为客户端向服务端请求的一个标识。在前端使用用户名/密码向服务端发送请求认证，服务端认证成功，那么在服务端会会返回token给前端，前端在每次请求时会带上服务端发来的token来证明自己的合法性。二、用burp进行暴力破解首先打开pikahcu平台暴力破解下的token防暴力破解，随意输入账户和密码让burp抓到post请求...

2019-03-24 19:16:22 3383 3

原创第二周作业暴力破解——1.基于表单的暴力破解 2.验证码绕过（on client) 3.验证码绕过(on server)

（一）先将在课程重演中出现的问题放在最前面（1）在设置完代理后出现了BurpSuite不能拦截localhost,127.0.0.1的情况最后发现火狐浏览器中有个地方引起的把其中内容删除掉就能拦截成功了（2）导入字典后无法攻击在路径上不能有中文，需要把字典放在英文的目录下。（下图为错误示范）（二）开始课程重演打开pikachu平台，在暴力破解栏目下点击基于表单的暴力破解...

2019-03-18 07:57:14 2601 2

原创 vpn原理

1.VPN原理VPN是虚拟专用网络的简称，简单的说就是利用公用网络架设专用网络.当我们打开VPN的时候，VPN就会在电脑上虚拟一个IP地址，当电脑要传输数据包时，VPN会对这个数据包进行加密，发出数据包的地址是VPN虚拟出来的地址，而接受数据包的地址是VPN服务器的地址。当数据包到了VPN的服务器后，会对数据包进行解密，在把数据包传给网站的服务器，网站的服务器把传回的数据包加密之后又传回给电脑。...

2019-03-11 08:16:45 2403 1

weixin_43899561的博客