网络安全学习Day5

已于 2022-04-15 17:59:05 修改
阅读量2.3k 收藏
点赞数 1
文章标签: web安全 安全 网络安全 安全架构 系统安全
于 2022-04-13 22:16:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/124149321
版权

做一下DVWA中high级别的XSS,首先看一下源代码:

我们可以看到使用了php中的preg_replace函数进行正则替换。

$str="acsdcs<55555555>sc<6666>sdcd";
echo preg_replace("/<.*>/","",$str);

上述两行代码的替换规则为:将str中以<开头,以>结尾中任意长度的字符替换为空格,其中的.代表任意字符;*号代表着任意个数;如果我们想设置有限的个数,可以做出如下的修改:

$str="acsdcs<55555555>sc<6666>sdcd";
echo preg_replace("/<.{4}>/","",$str);

        其中的{4}代表着<>中有4个字符;

$str="acsdcs<55555555>sc<6666>sd<>cd";

echo preg_replace("/<[0-9]*>/","",$str);

//输出acsdcscd

echo "";

echo preg_replace("/<[0-9]+>/","",$str);

//输入acsdcsscsd<>cd

?>

        *号代表重复0次或者是n次;而+号代表着至少重复1次,所以在<>中至少要有一个数字,如果为空的话,则不进行替换。

$str="acsdcs<55555555>sc<6666>sd<>cd";
echo preg_replace("/<[0-9]?>/","",$str);//输出acsdcs<55555555>sc<6666>sdcd
?>

        然而这里的?是重复0次或者1次,超过1个数字的时候便不符合条件。

我们可以通过两种方法进行弹窗:

        1. <img src=1 οnerrοr=alert("xss");>

        2. <input οnfοcus="alert('xss');" autofocus>

常见加密(编码)特征总结        

        MD5:加密的结果是由32位数字和小写字母组成

        MD5(16位):加密的结果是由16位数字和小写字母组成

        SHA-1:加密结果由40位数字加小写字母组成

        SHA-256:加密结果由64位数字加小写字母组成

        SHA-384:加密结果由96位数字加小写字母组成

        SHA-512:加密结果由128位数字加小写字母组成

        URL编码:空格-%20;0~9-%30~%39;abcdegfhijklmnopqrstuvwxyz-%61%62%63%64%65%66%67%68%69%6A%6B%6C%6D%6E%6F%70%71%72%73%74%75%76%77%78%79%7A

        AES:由加密模式、填充、数据块、密码、偏移量、输出、字符集组成的。对应的解密是需要填充方式、数据块(可以进行手工测试),以及密码和偏移量(这两者是在加密的时候设置的)

        BASE64编码:密文长度随明文长度变化,密文由数字,大小写字母,和字符组成,常会出现==,+,=

        Unescape编码:abcd -> %u6261%u6463%u0a0d%u0000  %u0000表示明文长度为偶数 ,否则表示明文的长度为奇数

常见的加密方式包括:直接加密,带salt,带密码,带偏移量,带位数的,带模式,带干扰,自定义组合加密。

Y4y17
关注
【千峰】网络安全学习笔记
chenjyboke的博客
12-03 1339
一OSI TCP,IP协议簇 1.分层模型 (同层使用相同的协议, 下层为上层提供服务) 通信需求---->定义协议标准 含义:将复杂的流程分解为几个功能相对单一的过程 目的:1.整个流程更加清晰,将复杂化的问题简单化。 2.更容易发现问题并针对性的解决问题。 (1)分层思想 (2)OSL参考模型 (3)TCP/IP协议簇 应用层 传输层 网络层 数据链接层 物理层 2. 数据传输过程 数据封装与解封装过程 ...
网络安全学习笔记--Day1 TCP/IP协议:(千峰网络安全视频笔记)
CongM_JueD的博客
08-27 1656
TCP/IP协议
盘点五种最常用加密算法!
最新发布
qq_40638618的博客
12-07 847
加密算法
加密密文粗略判断
m0_46315342的博客
05-11 2456
加密密文粗略判断 1、ASCII编码: 密文是十进制,字符范围是“0-9”。(当然也有可能是8或16进制的ASCII) 【纯数字】 2、Base64编码: 【密文由**字母大小写、数字和“=”**构成,特别是末尾有“=”。】 3、Base32编码: 【密文由**字母大小写、数字和“=”**构成,特别是末尾有“=”。】和base64差不多,根据原理,base32编码比base64编码长度更长。两种都可以试一下。 4、Escape()编码: 如果密文有“%”,形式为“%xx”和“%uxxxx”,字符范围又是十六
MD5方式加密(固定值32位、大小写不限制)
qq_40815370的博客
07-17 1412
package com.xinyan.credit.util; import java.io.UnsupportedEncodingException; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom; impor...
加密算法
My_YanZi_Brute的博客
03-28 826
在php的开发过程中,常常需要对部分数据(如用户密码)进行加密 一、加密类型: 1.单向散列加密 就是把任意长度的信息进行散列计算,得到固定长度的输出,这个散列计算过程是单向的,即不能对固定长度的输出信息进行计算从而得到输入信息。 (1)特征:雪崩效应、定长输出和不可逆。 (2)作用是:确保数据的完整性。 (3)加密算法:md5(标准密钥长度128位)、sha1(标准密钥长度160位)、md4、C...
号码加密
Java学员的博客
07-17 768
某个公司采用公用电话传递数据,数据是四位的整数, 在传递过程中是加密的,加密规则如下:每位数字都加上5, 然后用和除以10的余数代替该数字,再将第一位和第四位交换,第二位和第三位交换。*/ import java.util.*; public class Secret{  public static void main(String[] args){   int num;   Sys
[红日安全]AI安全Day1-机器学习算法在web安全中的应用1
08-08
【红日安全】AI安全Day1-机器学习算法在web安全中的应用1 在Web安全领域,机器学习已经成为一种强大的工具,用于识别和防御各种威胁,如恶意软件、网络钓鱼、DDoS攻击等。本文将深入探讨机器学习的基础概念及其在...
网络安全学习笔记--Day1 物理层和数据链路层:(千峰网络安全视频笔记)
CongM_JueD的博客
08-27 1364
物理层和数据链路层的设备及其他内容。
前端常用的几种加密方法
热门推荐
stc_ljc的博客
11-16 12万+
在信息安全越来越受重视的今天,JS 安全一直是前端工程师们注重的大问题,前端的各种加密也变得更加重要。通常跟服务器的交互中,为保障数据传输的安全性,避免被人抓包篡改数据,除了 https 的应用,还需要对传输数据进行加解密,保证了所有使用者的权益不被侵犯。
base64位加密易理解多知识讲解
ddly431094821的博客
04-17 1331
base64位加密易理解多知识讲解 Base64为什么叫Base64 Base64就是一种基于64个可打印字符来表示二进制数据的方法。 Base64如何辨认 一共有四个部分: 1.26位字母大写——26个 2.26位字母小写——26个 3.数字0-9——10个 4.字符+,/,=——3个 2+10+26+26=64. 可能又有一位小朋友要问了:为什么我算的是65呢?因为我没算等于号,为什么不算呢,因为它是来凑数的。在计算时有空位才会用到。 还可能有的小朋友会这样问:为什么你还把26个字母的大小写分开了呢?
前端如何加密数据--五种方式(base64加密、md5加密、sha1加密、字符串方法加密、AES加密
weixin_45096939的博客
02-17 5286
4.字符串的编码和解码(JS函数的escape()和unescape())--对于汉字,数字不适用。字符串转换为base64:str64 = window.btoa(str)base64转换为字符串:str=window.atob(str64)1.base64加密
MD5、AES、Jasypt加密方式的简要介绍与对比
github_39060174的博客
10-13 2187
说说系统中的加密工具 1 资料来源及说明 1.1 简要说明 1.1.1 目前系统中用的加密工具有:MD5、AES加密工具(旧的)及Jasypt加密工具(新增) 1.1.2 MD5: 主要用在系统用户名密码的加密上 1.1.3 AES:除数据库密码解密外、系统用于密码等所有的均使用该加密工具:redis、邮件、Eterm账户等 1.1.4 Jasypt:目前只计划实现数据库密码的加解密,配合实现数据库自动化运维 1.2 MD5 1.2.1 MD5算法原理及实现:https://blog.csdn.net/u0
【编码、解码】常见密码的编码
人若无名,便可专心练剑
04-08 3083
就是把要加密的明文分成N个一组,然后把每组的第1个字符组合,每组第2个字符组合…每组的第N(最后一个分组可能不足N个)个字符组合,最后把他们全部连接起来就是密文,这里以。**密文:**Teucbonojmsvrhlzdghqikrwfxupoeteayo。编码,在线转文本后为flag{ok-ctf-1234-admin}这个为brainfuck,在线解码网站解码即可。3.每个字符间短的停顿(在点和划之间的停顿)第三部分是:扩展ASCII打印字符。第二部分是:ASCII打印字符;4.每个词之间中等的停顿。
对url加密加密解密算法,这样的加密结果只有数字字母
qq_25041295的博客
12-09 1703
package com.jubaopen.base.util; import org.apache.commons.codec.binary.Base64;    import sun.misc.BASE64Decoder;    import sun.misc.BASE64Encoder;        /**    * 对url加密加密解密算法,这样的加密结果只有
AES加密
admin的博客
10-28 1034
由一道XCTF的misc-Aesop_secret,看题目就知道他用到了AES加密,之前没遇到过。 一、用winhex打开,发现一串编码 看着像b64,但其实不是,这也告诉了我们一点,不是所有的末尾带等号,然后有大写有小写的就是base64的,还可能是AES加密。 二、AES是需要解密密钥的,一般这种题绝对是在题目中寻找解密密钥,基本上就是英文串或者关键词的引申义字符串,我们看到题目名称为2019-ISCC,于是猜测密钥是iscc。 而且这题比较鸡贼,他用到了两次AES,第一次解...
PHP加密解密类(密文只有大小写字母数字),支持中文加密
盐碘
01-09 6765
by 狂奔的蜗牛的博客 from http://www.host900.com/ 本文地址:http://www.host900.com/index.php/articles/148/ php /** * MrPmvc加密解密类 * @author 狂奔的蜗牛 * @email 672308444@163.com * @version alpha * Usag
常见加密方式DES、AES
hortonwei的博客
04-16 3342
1. 对称加密 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。 示例: 我们现在有一个原文3要发送给B 设置密钥为108, 3 * 108 = 324, 将324作为密文发送给B B拿到密文324后, 使用324/108 = 3 得到原文 常见加密算法 DES: Data Encryption Standard,即数据加密标准,是一...
网络攻防与信息安全:从0day到DHCP协议解析
"这篇复习资料涵盖了网络安全、信息安全基础、攻击与防御策略、网络协议解析以及...这份复习资料提供了丰富的网络安全基础知识,涵盖了从基础概念到实用工具的多个层面,对于学习和理解网络安全的各个方面都极具价值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值