- 博客(7)
- 收藏
- 关注
原创 DWVA-1.10学习笔记之二——Command Injection(命令行注入)
讲在前面命令行注入漏洞的存在,一般需要web应用有调用系统可执行命令的函数,并且输入参数是可控的,这时候如果拼接了注入命令,就可以进行非法操作了。本人实验所用操作系统为kali linux,在web应用中会调用bash命令行工具进行操作。(在Windows中则是调用DOS命令行)一、Low1.1 服务器代码if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // De
2020-07-16 22:28:26 467
原创 DWVA-1.10学习笔记之一——Brute Force(暴力破解)
讲在前面暴力破解本身是一个技术含量比较低的手段,即通过穷举所有有可能的字段进行尝试,找到一个正确的结果,从而达到破解的效果。我个人觉得,暴力破解的难点在于没有一份强大的字典文件去遍历,其次是遍历的时间一般会比较长,在实战中暴力破解一般会是个最差解。一、Low1.1 先看代码:if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password
2020-07-15 22:47:15 453
原创 HTTPS详细解析、TLS四次握手
前言在互联网刚诞生的时候,Honeywell Information System公司便提出了OSI网络模型,并最终推广使用。HTTP协议作为OSI模型的应用层中不可或缺的一个协议,凭其优秀的性能得到了广泛的应用,但是随后人们发现了一个重大漏洞,HTTP协议使用了明文传输数据,这使得任何人只要拦截下数据包就可以直接查看交互信息甚至可以随意修改交互信息,这是非常危险的。这份危险刺激着密码学的发展,随着对称加密算法、公私钥加密算法和消息摘要算法相继提出和发展完善,信息的保密性、完整性和可用性得到了极大的保
2020-07-07 14:26:34 7042 2
原创 浏览器与网页渲染
一、浏览器是什么?从用户的角度来讲,浏览器是网络用户用来与互联网交互的软件,用来呈现存放在互联网或者局域网上的包含文字、图像、多媒体以及其他内容的网页文件,并且为用户提供与互联网交互的操作。从开发人员的角度来讲,浏览器是用来向web服务器发出数据请求、接收web服务器发送回来的网页数据、解析网页原始数据并渲染网页、最后将渲染出来的网页呈现给用户的一个软件。二、浏览器请求过程浏览器的一次完整的请求流程,是从用户输入URL(统一资源定位符)开始,直到最后在显示窗口显示整个网页为止,具体来讲需要进行以下流
2020-07-07 13:33:32 281
原创 说说在Apache安装并配置多个https站点中踩过的坑
本文仅记录我配置服务器的过程中各种杂七杂八的东西,仅供参考。一、环境系统:CentOS 8服务器:Apache 2.4.37二、下载先直接su进入root,免得后面一次次sudo和输密码。apache安装教程其他帖子很详细,这里简短提一下。# 安装Apache,-y意思是对所有的问题都回答yyum install httpd -y# 启动服务(还有设置开机自启的命令,懒得查先)...
2020-03-10 01:46:21 1485
原创 关于抓取大众点评商户评论的爬虫那点事
一、序言很久之前就听过爬虫,但都没有自己亲手去写过,前几天有朋友突然来问我会不会爬虫,并想要我帮他爬点东西,我也就趁此机会来尝试一下,便接下这个任务,实操一下爬虫这个东西。任务:抓取大众点评某个商户的所有评论众所周知,程序员写代码的第一步就是打开某大型同性交友网站,我也先百度查了一些已有的文章了解一下,发现写这个爬虫主要的难点在于:IP被封评论的内容被加密时不时跳出来的验证码对...
2020-02-28 00:47:36 4222
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人