- 博客(92)
- 收藏
- 关注
RSS订阅原创 Scrapy IP()类 编程指南(基础)
工欲善其事,必先利其器,在聊ScapyIP类时,我们先要了解IP是什么。IP指的是Internet Protocol(互联网协议)的数据包。Internet Protocol是互联网上用于在网络中传输数据的一种协议。在TCP/IP协议族中,IP层负责数据包的路由和寻址,确保数据能够在网络中正确传递。IP协议定义了一种在网络中唯一标识设备(主机或路由器)的方式,并提供了一种将数据分割成小的数据包进行传输的机制。每个数据包都包含源和目标设备的IP地址,以便路由器能够正确地将数据包从源传输到目标。IP协议又分为。
2024-01-27 20:45:43
989
原创 Scapy编程指南(基础概念)
Scapy 是一款功能强大的网络工具库,具有灵活性和广泛的协议支持。它提供了丰富的功能,让用户能够直观地操作网络数据包,进行网络分析和实验。
2024-01-24 20:50:57
1018
原创 XSS漏洞 深度解析 XSS_labs靶场
XSS原名为Cross-site Sciprting(跨站脚本攻击),因简写与层叠样式表(Cascading style sheets)重名,为了区分所以取名为XSS。这个漏洞主要存在于HTML页面中进行动态渲染输出的参数中,利用了脚本语言和HTML语言的特性,将恶意的JavaScript脚本注入进HTMl页面,这些脚本可以窃取用户信息、会话令牌、修改页面内容等,从而达到攻击目的。
2023-12-12 22:08:15
315
原创 逻辑漏洞 暴力破解(DVWA靶场)与验证码安全 (pikachu靶场) 全网最详解包含代码审计
账号安全在数字时代确实是至关重要的,而弱密码是安全风险的主要来源之一。对此,防范暴力破解是至关重要的一步。使用强大的密码策略、多因素身份验证和账户锁定功能等是防范暴力破解的有效手段。同时,确保设备的安全性与可用性之间取得平衡也是关键。采用token与密码错误次数结合的方式可以在一定程度上保护账号免受暴力破解,但这可能会牺牲一定的可用性。因此,数据敏感等级的分析和安全策略的制定非常重要。根据数据的敏感等级,可以采取不同的保护措施,确保安全性的同时最大程度地保持系统的可用性。
2023-11-28 11:05:39
691
原创 burp suite 2023.10 Intruder模块详解)
Intruder 模块是Burp suite的一个重要功能,用于自动化攻击和对目标应用程序进行大规模的攻击测试。
2023-11-25 18:25:07
1425
原创 逻辑漏洞(业务逻辑)dami CMS
业务支付漏洞的产生通常源于在编写支付逻辑时的不严谨。这些漏洞可能是因为开发者未能充分考虑各种支付场景、未进行全面的输入验证、或者对支付过程中的边界条件和异常情况缺乏考虑。一旦这些漏洞被利用,可能会造成巨大的损失。
2023-11-22 19:27:37
420
原创 PHP中cookie与session使用指南
Cookie 的过期时间,Unix 时间戳格式,默认为 0,表示会话级的 Cookie。通俗的来说,它就是定义了Cookie的过期时间,当 Cookie 过期时,它不会立即被浏览器删除,而是在浏览器下一次发送请求时,服务器检测到 Cookie 已过期,于是命令浏览器删除这个过期的 Cookie。而在这里存储的内容就是以序列化的形成保存用户信息,在服务器端,这些序列化后的数据会以特定的文件或其他存储方式保存在对应的 Session 目录中,文件名通常以 Session ID 命名。,则在整个域名下有效。
2023-11-21 15:42:48
288
原创 逻辑漏洞(越权)
在日常使用的软件程序,都会存在权限这一概念,它用于控制信息资源的保密性、完整性,它可以帮助我们来定义信息资源如何被合法的访问。而越权漏洞就是指在系统中某个实体(用户、程序等)越过了其授权范围获得了未授权的权限或者访问权。1. 水平越权- 在未授权的情况下,访问相同权限的资源。2. 垂直越权- 在未授权的情况下,访问比自己权限更高的资源。提交登录请求:输入账号密码,发送请求至服务端验证账号密码是否正确:后端对输入的账号密码进行验证,检查其是否在数据库中存在,确保合法用户的登录。
2023-11-20 22:37:46
317
原创 熊海CMS 靶场
初步了解cms,Content Management System 内容管理系统。它是一种用于创建、编辑、管理和发布内容的软件程序或工具。内容管理系统通常用于网站、博客、企业内部系统等各种应用中,可以帮助用户管理和发布各种类型的内容,如文章、图片、视频、文件等。进行PHP代码审计,代码审计是一种白盒测试,以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。
2023-11-11 11:50:47
656
原创 SQL注入类型(详细讲解)
在进行SQL注入测试的时候,确实很重要要知道目标SQL语句是什么类型,因为不同类型的SQL语句对注入的有效载荷(payload)有不同的语法要求。
2023-10-27 00:28:24
644
1
原创 SQLi靶场
在学习SQL注入时,要对SQL的语法有大致上的了解,并且越熟练越好,在进行注入前要仔细分析,它使用的什么类型的SQL语句,以便对症下药,确定类型后,如果是查询类的注入,还要去分析出源语句中,使用了几个字段,当掌握这些信息后,就开始考虑如何闭合语句。判断SQL语句类型构造永真POC判断是否存在SQL注入爆破源语句字段数量爆破成功后即可进行攻击在这一关总体思路与第一关基本一致,只不过在本关中使用的是数值内省SQL语句,在闭合语句方面不用考虑引号等关系。介绍了mysql的一个安全配置项。
2023-10-24 20:36:29
330
原创 认识SQL注入
理解SQL注入的重要性是提高自己编程技能和网络安全意识的关键一步。我计划通过使用SQLi靶场,一个为学习和实验设计的安全环境,逐步扩展对SQL注入的了解。这将使我有机会亲手尝试各种SQL注入攻击方法,并深入了解如何防范这些风险。这样的实践经验对我来说是宝贵的,它不仅能提高我的编程能力,还能帮助我建立健全的网络安全观念。通过这种方式,我期望能够更全面地掌握SQL注入,从而在未来的编程路上更加稳健和安全。
2023-10-17 00:44:23
159
1
原创 JavaScript中的实例化研究
在JavaScript编程中,实例化是一个非常重要的概念,尤其当你使用面向对象编程(OOP)的时候。简单地说,实例化就是从一个类(class)创建一个对象(object)的过程。实例化是面向对象编程中的一个核心概念,掌握它对于编写可重用和可维护的代码非常重要。通过实例化,你可以创建多个具有相同属性和行为的对象,但每个对象都有其自己的数据。对象(Object): 对象是类的一个实例,包含由类定义的属性和方法。下面是一个简单的例子,定义了一个名为Person的类和如何实例化它。// 创建对象(实例化)
2023-10-10 23:34:17
148
原创 # 解析Pikachu靶场:一个安全研究的练习场
Pikachu靶场是一个特意设计出多个安全漏洞的Web应用程序。它提供了一个安全的实验环境,用于练习和研究Web安全漏洞,如SQL注入、XSS(跨站脚本)、CSRF(跨站请求伪造)等。
2023-10-10 00:15:30
1188
原创 深度解析JavaScript事件对象属性
JavaScript的事件处理机制是其交互能力的基础。但要充分利用这一机制,了解事件对象及其属性是关键。本文旨在深度解析这些属性,以供初学者和进阶开发者参考。
2023-10-09 11:33:16
112
原创 详解事件对象:编程初学者的指南
简单说,事件对象是一个包含了所有与某个特定事件相关信息的对象。当一个事件(如点击、键盘输入、鼠标移动等)发生时,会自动创建一个相应类型的事件对象。例如,在JavaScript中,点击事件通常会生成一个MouseEvent对象。
2023-10-09 11:22:05
83
原创 了解JavaScript的选择器:选择正确的工具来操作DOM元素
为了选择和操作DOM元素,我们需要使用选择器来找到我们需要的元素。则更灵活,可以使用各种CSS选择器,并返回更具弹性的结果。缺点:返回的是HTMLCollection对象,而不是数组,需要转换才能使用数组的方法。缺点:返回的是HTMLCollection对象,需要转换才能使用数组的方法。优点:灵活,可以使用各种CSS选择器,并返回所有符合条件的元素。缺点:仅返回匹配的第一个元素,而不是所有符合条件的元素。优点:可以选择特定标签的多个元素,适用于简单场景。优点:灵活,可以选择具有相同类名的多个元素。
2023-10-08 19:32:01
139
原创 JavaScript 事件详解细节
在 JavaScript 中,一个事件可以看作是一件事情的发生,比如用户点击了一个按钮,或者数据被加载完成等。当这些事件发生时,你可以执行某些代码来响应这些事件,这就是所谓的事件处理。
2023-10-08 19:30:32
141
原创 JavaScript DOM 函数大全详解(使用最新的 JS 语法)
JavaScript 的 Document Object Model(DOM)是用于操作网页内容的编程接口。在最新的 JavaScript 语法下,我们有很多方便和高效的方法来处理 DOM。下面是一些常用 DOM 函数和方法的详细解释。
2023-10-08 19:28:13
263
原创 深入探究HTML表单与JavaScript的关系
HTML表单与JavaScript共同作用于前端,为用户提供了丰富的交互体验。JavaScript不仅可以对表单元素进行基本的读取和修改,还可以对用户的输入进行实时响应和验证,甚至在不刷新页面的情况下与服务器进行数据交换。熟练掌握它们的关系和使用方式,对于任何前端开发者来说都是非常重要的。希望这篇博客能帮助你更深入地了解HTML表单和JavaScript的关系,以及如何有效地将它们结合起来创建高质量的Web应用。
2023-10-07 10:29:46
804
原创 HTML表单与JavaScript的关系
HTML表单是一种允许用户在Web页面上输入数据的界面元素。这些数据通常在提交给服务器之前需要进行处理或验证。文本框(单选按钮(复选框(下拉列表(文本域(提交按钮(或HTML表单和JavaScript紧密相关,两者结合可创建出功能丰富、用户体验优秀的网页应用。通过JavaScript,开发者不仅可以获取和处理表单数据,还可以实现动态交互和前端验证,大大提升用户体验。
2023-10-07 10:29:16
93
原创 Flex布局深入解析
深入理解CSS选择器是每个前端开发者的必修课。它不仅让你的代码更简洁,而且能让你更灵活地控制页面的每一个细节。希望这篇文章能提供更多的洞见和应用场景,帮助你成为更高效的开发者。
2023-10-06 10:46:38
99
原创 Flex布局详解
深入理解CSS选择器是每个前端开发者的必修课。它不仅让你的代码更简洁,而且能让你更灵活地控制页面的每一个细节。希望这篇文章能提供更多的洞见和应用场景,帮助你成为更高效的开发者。
2023-10-06 10:45:04
75
原创 深入解析CSS选择器:更多细节和应用
深入理解CSS选择器是每个前端开发者的必修课。它不仅让你的代码更简洁,而且能让你更灵活地控制页面的每一个细节。希望这篇文章能提供更多的洞见和应用场景,帮助你成为更高效的开发者。
2023-10-05 11:13:14
119
原创 CSS 选择器:一篇全面而详细的指南
CSS选择器非常强大和灵活,掌握它们是前端开发的重要基础之一。希望这篇文章能帮助你更好地理解和应用CSS选择器。
2023-10-05 11:12:16
87
原创 网络是如何进行通信
随着科技的不断发展,网络将继续在我们的生活中扮演重要的角色。5G技术的普及和物联网的发展将使连接更加广泛和快速。人工智能和大数据分析的应用将进一步改善网络性能和服务。虚拟现实和增强现实技术将为我们带来更丰富的互动体验。然而,网络发展也面临一些挑战。网络安全和隐私保护是亟待解决的问题,黑客入侵、数据泄露等问题已经时常发生。此外,数字鸿沟和网络普及度的不平衡也需要关注和解决。尽管存在挑战,网络的意义和潜力无可否认。网络作为现代社会的重要基础设施,正不断推动着社会的进步和创新。
2023-09-07 14:28:25
465
原创 文件上传漏洞-upload靶场17-20关
经过了图片木马的的几个关卡,了解到如何使用图片写入代码的方式,去上传webshell。它们相较于修改后缀的方式,复杂度升级,需要去了解每一种图片类型的编码,可以在图片中去写入,也可以把图片的标识信息写入到webshell的头部中去,这些办法也是因人而异,大家各取所需就🆗。在今天的关卡中,引入了竞争的概念。大致的意思,就是去和后端比赛。在你消灭我之前,我要在把webshell上传到后端。现在我们就开始通关之旅。
2023-09-06 15:04:07
166
原创 文件上传漏洞-upload靶场13-16关 (图片木马-文件包含与文件上次漏洞)
文件包含漏洞存在于许多服务器端编程语言和框架中。这种漏洞允许攻击者通过利用应用程序未经正确验证的文件包含代码,将恶意文件或远程文件包含到目标应用程序的执行环境中。文件包含漏洞的主要原因在于应用程序在包含文件时未对用户输入进行充分的验证和过滤,或者将用户可控的输入直接用于文件路径或文件名。攻击者可以利用这个漏洞来执行恶意代码、读取敏感文件、绕过访问控制或进行其他非法操作。文件包含漏洞可以分为两种类型:本地文件包含漏洞:攻击者通过指定包含的本地文件路径,从同一服务器上读取和执行文件。
2023-09-03 22:26:44
783
2
原创 文件上传漏洞-upload靶场5-12关
在前两篇文章中,已经说了分析上传漏的思路,在本篇文章中,将带领大家熟悉winodws系统存在的一些上传漏洞。
2023-09-01 11:41:54
978
原创 提升代码逻辑的感觉——python循环语句
break用于立即终止整个循环的执行。continue用于终止当前迭代的执行,然后开始下一次迭代。通过break和continue,我们可以根据特定条件自定义循环的控制流程,实现更灵活和精确的控制。分支结构和循环结构,都是编程中的非常重要的概念,正确的使用它们可以解决很多实际的问题。while循环它适合用于需要在满足某个条件时重复执行代码的环境:while循环提供了一种方法,可以使用条件判断来控制循环是否继续执行。只要条件为真,代码块就会继续执行,循环会一直持续下去,直到条件为假。
2023-08-30 01:37:30
210
原创 文件上传漏洞-upload靶场3-4(全网最详细解读)
按照第一关和第二关的思路,先随便上传一个文件用burpsuite工具抓包,看它到底是前段验证还是后端验证。上传一个webshell,发现burpsuite拦截到一个请求包,确定了它是服务器后端验证,然后我们安装第二关的操作,修改MIME(content-Type)的值,实施能否上传成功。修改MIME(Content-Type)的值后,发现任然无法上传成功,这种后端验证应该就不是验证MIME的值,可能是验证级别更高的方法,我们因为是学习upload上传漏洞,所以我们先分析后端源码,在找找办法。
2023-08-30 00:43:30
292
原创 文件上传漏洞-upload靶场1-2关 通过笔记(如何区分前段验证和后端验证)
MIME(Multipurpose Internet Mail Extensions)是一种用于标识文件类型的标准。它是在互联网上发送邮件和其他数据的一种常用方式。MIME 类型由两部分组成:主类型和子类型,之间用斜杠(/)分隔。主类型表示文件的大类别,而子类型表示具体的文件类型。text/plaintext/htmlimage/jpegimage/pngMIME 类型主要用于在 HTTP 协议中指定传输的数据类型,并且还在其他应用程序中进行使用,例如电子邮件、文件上传等。
2023-08-24 01:23:47
788
原创 任意文件上传漏洞(简介)
文件上传是指将文件从本地计算机或其他设备上传到网络服务器或其他存储位置的过程。通过文件上传,您可以将文件(如图像、文档、音频或视频等)传输到网络上的不同位置,以实现文件共享、备份、存储或与他人共享内容等目的。用户选择要上传的文件:用户在自己的设备上选择要上传的文件,可能通过文件资源管理器、拖放文件或选择文件对话框等方式进行。文件被传输至服务器:一旦用户选择文件,通过网络将文件发送到特定的服务器。可以使用各种协议,如HTTP、FTP、SFTP等来实现文件传输。
2023-08-22 21:14:11
578
原创 URL编码指南
URL编码是一种将URL中非字母数字字符转换为特殊编码格式的方法。这些特殊编码格式采用百分号+十六进制表示的形式,以避免URL中的特殊字符被误解为其他用途。URL编码使得包含特殊字符的URL能够在网络中正确传输和解析,并且保证URL的完整性和准确性。
2023-08-19 11:54:42
137
原创 HTTP 请求方法详解
请求方法(Request Methods)是在 HTTP 请求中用于指定对目标资源执行的操作类型。每个请求都需要指定一个请求方法,以告知服务器要执行的操作。
2023-08-07 20:46:52
1327
原创 HTTP协议 报文结构
请求头部(Request Headers)是在HTTP请求中发送给服务器的额外信息,用于说明请求的属性、期望、身份验证等。在发送请求时,可以根据需求设置请求主体,并在请求头部中明确指定Content-Type字段,以便服务器正确解析和处理请求主体。响应头以名称-值的形式表示,并位于HTTP响应的头部部分。响应状态码是在HTTP响应中表示请求处理结果的数值,用于指示请求的成功、失败或其他特殊情况。在实际的开发中,通过解析HTTP响应报文,可以获取服务器返回的状态码、头部信息和响应体数据,并根据需要进行处理。
2023-08-07 20:42:00
189
原创 burp suite 2023版 模块详解《一》
映射树映射树是Burp Suite Site map窗口中的一个面板,它显示了目标应用程序的层次结构和相关请求的树形结构。在映射树中,我们可以看到目标应用程序中的不同目录、子域、URL路径以及关联的请求和响应。这些目录和URL按照层级结构组织,我们可以展开和折叠不同的层级来查看和管理其中的请求。对于每个请求,映射树显示了请求的URL、请求方法(GET、POST等)、请求的状态码(例如200 OK)、响应的状态码等信息。我们还可以通过单击请求,查看和分析请求和响应的详细内容。
2023-08-03 00:01:46
790
原创 作为普通人该如何防御暴力破解
在上个章节中其实也已经说了弱密码的问题,例如上节中的行李箱,它只有3位数字的密码,最多只需尝试1000次,就一定能破解该密码,但只有这类的密码算弱密码吗?我用字母和数字组成的密码就不是弱密码吗?我的回答是是不是弱密码得看情况,例如你的密码是名字拼音加生日,那这就是妥妥的弱密码,如果你说我中间还加了特殊符号,这总不算是弱密码了吧!很遗憾,它依旧是弱密码,那弱密码到底是指的什么呢?接下来我们我们一起来探讨。究竟什么是弱密码?简单性:弱密码通常是由常见的字典词、姓名、生日、连续数字等容易猜测或推测的元素组成。
2023-08-03 00:01:35
248
原创 HTTP 协议 版本详解
HTTP 是一种应用层协议,它定义了客户端和服务器之间进行通信的规范。该规范记录在 IETF(Internet Engineering Task Force)的 RFC(Request for Comments)文档中。HTTP 的规范描述了请求和响应的格式、方法、头部字段、状态码和其他各种参数。它定义了如何在客户端和服务器之间传输文本或二进制数据,并规定了数据的编码、压缩、缓存等方面的约定。为了实际进行 HTTP 通信,需要编写符合规范的 HTTP 实现程序。
2023-08-02 15:52:52
1156
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人