![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web
「已注销」
这个作者很懒,什么都没留下…
展开
-
TOP10之反序列化
前言虽然php反序列化的文章,网上一搜一大把,但是我还是想记录下,方便以后忘了自己在回头来看。反序列化是什么?通俗的来说:序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用;这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性;序列化有利于存储或传递 PHP 的值,同时不丢失其类型和结构。通常在使用反序列化时都会...原创 2019-12-09 20:24:33 · 608 阅读 · 0 评论 -
TOP10漏洞之文件包含
前沿很早之前就学习了top10的漏洞,但是对于我自己来说基本上就大体的过来一遍,有一句话就是学习好基础,让你少奋斗两年, 于是我现在又来过一遍top10漏洞。在这些中主要侧重于我自己的思路。##文件包含含义:文件包含在我的理解来说就是程序员在自己写代码是要调用其他的文件,使用包含文件的函数。在我们耳中关于文件包含漏洞的存在基本在php,但是在jsp, asp中同样也存在文件包含。于是在这篇...原创 2019-12-09 20:23:40 · 1119 阅读 · 0 评论 -
JSON WEB TOKEN-----jwt
一,JWT介绍JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。二,JWT的原理服务器认证后,生成一个JSON对象,发回给用户。就像下面一样。{ “姓名”:“FFM-G”, “时间”:“2019年5月”...原创 2019-05-16 13:39:39 · 522 阅读 · 0 评论 -
各种类型的sql注入
前言,因为学长叫我用ppt总结下自己这几个月学了什么内容,早就想大总结一次了,刚好有了这次机会。自己从2019二月份接触了三叶草小组的朋友,无意接触了ctf,感觉很有趣,于是就入了信安这个坑。以下全是自己个人的总结,若有地方不对,还请大佬指正。学习总结学习了web基础的一些漏洞1,sql注入原理: sql命令插入到web数据表单,然后提交被数据库误认为是正常的SQL指令而运行,从而执...原创 2019-07-06 23:25:14 · 833 阅读 · 0 评论 -
docker安装及入门学习
docker安装1.更换国内软件源,推荐中国科技大学的源,稳定速度快sudo cp /etc/apt/sources.list /etc/apt/sources.list.baksudo sed -i 's/archive.ubuntu.com/mirrors.ustc.edu.cn/g' /etc/apt/sources.listsudo apt update2.安装需要的包sud...原创 2019-07-19 23:38:06 · 114 阅读 · 0 评论 -
BUUCTF---easy-tornado
打开链接发现存在3个txt文件依次访问flag.txt直接说明了,最终的flag在/fllllllllllllag文件下hints.txt下提示是filehash,要是md5(cookie_secret+md5(filename))才可以结合/fllllllllllllag找到flag.但是cookie_secret不知道提示render. 谷歌发现render是python的一...原创 2019-07-29 21:53:24 · 1653 阅读 · 0 评论 -
linux反弹shell原理
一直知道Linux反弹shell。但是不知道其原理所以今天学习了一波。文件描述符首先我们要明白文件描述符是什么?文件描述符定义:文件描述符在形式上是一个非负整数。实际上,它是一个索引值,指向内核为每一个进程所维护的该进程打开文件的记录表。当程序打开一个现有文件或者创建一个新文件时,内核向进程返回一个文件描述符。在程序设计中,一些涉及底层的程序编写往往会围绕着文件描述符展开。但是文件描述符这一...原创 2019-07-30 16:32:36 · 287 阅读 · 0 评论