- 博客(223)
- 资源 (4)
- 收藏
- 关注
原创 Head注入漏洞详解:原理、危害与防御
摘要: Head注入是一种Web安全漏洞,攻击者通过操纵HTTP响应头注入恶意内容,可能导致信息泄露、会话劫持等风险。常见于动态生成响应头的场景(如重定向、文件下载),利用换行符(\r\n)插入额外头或篡改原有头。防御措施包括输入验证(白名单)、过滤换行符、避免直接拼接用户输入,以及使用安全框架。开发中需严格校验用户输入,结合自动化工具检测,以防范此类漏洞。核心原则是始终对用户输入保持不信任并实施严格过滤。
2026-06-17 18:07:54
346
1
原创 盲注详解:原理、类型与实战案例
文章摘要: 盲注(Blind Injection)是一种隐蔽的SQL注入技术,攻击者无法直接获取数据库回显,需通过观察页面行为差异(如内容变化、响应时间)推断数据。分为布尔盲注(基于真/假状态)和时间盲注(基于延迟函数)。攻击流程包括确认注入点、推断数据库信息、枚举结构并提取数据。防御核心是参数化查询,辅以输入校验、最小权限和WAF。盲注难度较高但危害严重,开发者需严格遵循安全实践,禁用错误回显并定期审计代码。
2026-06-17 17:57:32
473
1
原创 注入攻击的概念
目前,注入漏洞的存在非常广泛,通常存在于SQL、LDAP、Xpath(或noSQL)查询语句、OS命令、XML解析器、SMTP报文头部、表达式语句和ORM(object relational mapping,对象关系映射)查询语句中,所以常见的注入有SQL注入、OS命令注入、ORM注入、LDAP注入、EL(expression language,表达式语言)注入、OGNL(object graphic navigation language,对象图导航语言)注入。注入主要由以下原因产生。
2026-04-30 21:57:49
55
原创 WASC 团队报告的安全威胁分类
针对复杂的web应用程序安全问题,由安全专家、行业顾问和诸多组织的代表组成的国际团体WASC(web application security consortium,web应用安全联盟)于2010年发布的WASC Threat Classification 2.0(WASC威胁分类2.0)报告中,将web应用受到的威胁、攻击进行了说明,并归纳具有共同特征的分类。:是一种操纵或假冒web站点用户的方法。:利用web站点自身的特性和功能来使用、蒙骗或阻挠访问控制机制的一种攻击方法。
2026-04-30 19:05:57
248
原创 安全漏洞的生命周期
1day漏洞是指漏洞被公开披露后,相关软件或系统的开发者在第一天内发布修复程序的漏洞。虽然漏洞已经被公开,但软件的开发者在第一天内就发布了修补程序,以减少攻击者利用漏洞的机会。1day漏洞相对于0day漏洞来说,系统的安全性得到了更快的响应和修复。0day漏洞,又被称为零日漏洞,指的是还未被厂商公开宣布的漏洞,这意味着攻击者已经知道这个漏洞的存在,并且已经利用它进行攻击。nday漏洞是指漏洞已经被公开披露,漏洞的修复补丁已经发布n天,但由于各种原因受害者仍未打补丁。这个阶段,漏洞对用户的威胁已经大大降低。
2026-04-26 18:11:43
136
原创 yakit 无法拦截127.0.0.0 数据包的解决方案
将浏览器中的url中的127.0.0.1修改为上述步骤得到的ip地址。步骤3:再次尝试使用yakit抓包,能成功拦截来自本地靶场的数据包。步骤1:在命令行窗口使用 ipconfig 命令查看本地ip地址。yakit 无法抓取本地靶场的数据包时。本地靶场127.0.0.1。
2026-04-26 18:06:41
250
1
原创 子域名简介
子域名(英语:subdomain)是在域名系统等级中,属于更高一层域的域。比如 fanyi.baidu.com 和 map.baidu.com 是 baidu.com 的两个子域,而 baidu.com 则是顶级域 .com 的子域。
2026-03-08 18:34:10
153
原创 AttributeError: type object ‘BeautifulSoup‘ has no attribute ‘__version__‘ 已解决
BeautifulSoup.__version__查看BeautifulSoup的版本信息时报错:AttributeError: type object ‘BeautifulSoup’ has no attribute ‘报错原因:因为BeautifulSoup类中没有__version__属性。__ version__属性在bs4库__init __.py文件中。在pycharm使用代码中查看BeautifulSoup的版本。解决方案:直接在pycharm中打印。
2026-03-08 18:20:06
142
原创 CSRF漏洞攻击类型及原理
攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用户是在登录状态下的话,后端就以为是用户在操作,从而进行相应的逻辑。
2026-02-14 17:11:32
43
原创 CSRF漏洞概述
然而,该链接实际上是一个伪装的请求,它会向受害者已登录的银行账户发送一条转账请求,而受害者并不知道自己的账户已经被攻击者攻击。攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。CSRF攻击是一种挟持用户在当前已登录的浏览器上发送恶意请求的攻击方法。相对于XSS利用用户对指定网站的信任,CSRF则是利用网站对用户网页浏览器的信任。
2026-02-13 19:02:12
522
原创 XSS漏洞概述
XSS(跨站脚本攻击)是指攻击者在网页中嵌入客户端脚本(如JavaScript),当用户浏览此网页时,JS脚本就会在用户的浏览器上执行,从而达到攻击者的目的。XSS,跨站脚本攻击(Cross Site Scripting,以下简称XSS)。本应缩写为CSS,但因为与CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSS。可以理解为靶机网站的注入攻击,将恶意脚本注入到网页,别的用户访问时,浏览器就会对网页进行解析执行,达到攻击网站的其它访问者。
2026-02-13 19:00:18
51
原创 python实现简易登录功能与日志记录功能
3. 用户名存在,但密码错误,提示“密码错误”,并记录日志;4. 用户名和密码均正确,提示“登录成功”,并记录成功。2. 用户名不存在,提示“用户名未注册”,并记录日志;1. 用户输入用户名和密码后,程序进行校验;实现语言:python。
2026-02-08 12:58:00
303
原创 python使用requests登录成功后进行信息浏览
第四步:信息浏览,get请求中带上cookies参数的值。第二步:使用requests.post()登录成功。第三步:获取登录成功后的cookie。第一步:导入requests库。
2026-02-04 16:04:31
366
原创 sqlmap的简要介绍
进而评估漏洞可能带来的安全风险(如数据泄露、服务器控制权被夺取等)。它基于Python开发,支持多种数据库类型和注入技术,是Web安全领域最常用的工具之一。,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。的SQL注入漏洞检查与利用工具,主要用于帮助安全测试人员、渗透测试工程师发现并验证Web应用程序中存在的。由于web应用程序对用户输入的数据合法性没有过滤或者是判断,攻击者可以在web应用程序中事先定义好的。sqlmap 是一款。
2026-01-29 16:16:39
242
原创 kali-linux-2025.4 鼠标不显示的问题 --- 已解决
摘要:解决Kali Linux 2025.4在VMware中鼠标不显示的问题,需先将系统关机,然后右键虚拟机选择【管理】-【更改硬件兼容性】,将兼容性版本改为17.x或17.5以上,完成修改后重启虚拟机即可恢复正常鼠标显示。操作过程需按步骤执行,确保系统已关机状态进行修改。
2026-01-29 15:34:48
8079
18
原创 DataFrame的常用方法(二)
本文介绍了DataFrame的6个常用方法:value_counts()统计唯一值出现次数,count()计算非缺失值数量,duplicated()和drop_duplicates()处理重复数据,sample()实现随机抽样,replace()替换特定值。通过Python代码示例展示了每个方法的具体应用,包括创建示例DataFrame、统计非缺失值、检测重复项、数据去重、随机采样和值替换等操作。这些方法为数据处理提供了基础功能,适用于数据清洗、分析和抽样等常见场景。
2026-01-17 17:44:00
309
原创 DataFrame的常用方法(一)
本文介绍了Pandas DataFrame的常用统计方法,包括数据查看(head/tail)、缺失值检测(isna)、成员判断(isin)以及多种统计计算功能。详细展示了sum()求和、mean()均值、min/max极值、var/std方差标准差、median/mode中位数众数、quantile分位数等核心统计方法的应用,并通过示例代码演示了describe()方法获取数据概览统计信息。这些方法为数据分析提供了基础统计计算支持,能快速获取数据分布特征。
2026-01-17 17:30:54
369
原创 DataFrame的索引属性
摘要:DataFrame的索引属性loc[]和iloc[]分别用于显示索引(按标签)和隐式索引(按位置)。loc[]索引从1开始,iloc[]从0开始。示例中创建了一个DataFrame,使用loc[4]获取bob行信息,而iloc[3]实现相同效果,展示了两种索引方式的区别和用法。
2026-01-07 18:21:30
291
原创 DataFrame的属性
本文介绍了DataFrame的8个核心属性:index(行索引)、values(值)、dtypes(元素类型)、shape(形状)、ndim(维度)、size(元素个数)、columns(列标签)和T(转置)。通过示例代码演示了如何创建DataFrame并查看这些属性值,包括获取索引、列名、数据类型等基本信息,以及使用T属性实现行列转置。这些属性是DataFrame数据结构的基础操作,对数据处理和分析具有重要意义。
2026-01-07 18:10:32
198
原创 DataFrame的创建方式
本文介绍了三种创建Pandas DataFrame的方法:1)通过Series合并创建,将多个Series组合成字典形式;2)直接使用字典创建,键作为列名,值作为数据;3)通过columns参数指定列顺序,同时可用index参数自定义索引。每种方法都提供了示例代码和运行结果图示,展示了如何构建结构化数据表。这些方法灵活实用,可根据不同数据源和需求选择适合的创建方式。
2026-01-05 17:47:09
234
原创 Series的常用方法简介(二)
本文介绍了Pandas Series的8个常用方法:value_counts()统计值频次、count()计算非缺失值、nunique()获取唯一值数量、unique()返回去重数组、drop_duplicates()删除重复项、sample()随机抽样、sort_index()索引排序和sort_values()值排序。通过示例代码演示了这些方法的使用,包括创建Series、排序操作、去重处理及统计计算等。这些方法为数据分析提供了基础的数据处理和统计功能,适用于数据清洗、探索性分析等场景。
2026-01-05 17:39:33
385
原创 python for循环实现九九乘法表
本文介绍了如何使用Python的for循环实现九九乘法表。通过嵌套循环结构,外层循环控制行数,内层循环控制每行的乘法运算,并使用格式化字符串输出结果。代码简洁高效,运行后能正确打印出完整的九九乘法表。示例中还包含了代码运行结果的图片展示,直观呈现了程序输出效果。这种方法体现了Python处理循环结构的优势,适合初学者学习基础编程逻辑。
2026-01-02 18:10:48
209
原创 使用python for循环与ord() + chr()实现字符串加密
本文介绍了一种使用Python for循环实现简单字符串加密的方法。通过ord()和chr()函数,将输入字符串中的每个字符ASCII码值加1进行加密。代码示例展示了如何获取用户输入,遍历字符串进行加密处理,并输出加密结果。该方法实现了基础的字符位移加密,适用于初学者理解字符串处理和简单加密原理。运行结果展示了加密前后的字符串对比。
2026-01-02 18:05:55
273
原创 Series的常用方法简介(一)
摘要:本文介绍了Pandas Series的14种常用方法,包括数据查看(head/tail)、缺失值检测(isna)、统计计算(mean/sum等)和数据分析(describe/quantile)等功能。通过示例代码演示了如何创建Series对象并应用这些方法,如计算平均值、标准差、分位数等统计指标,以及判断元素是否存在(isin)和缺失值处理。文中包含对应的代码运行结果截图,直观展示了各方法的输出效果,为数据分析和处理提供了实用参考。
2025-12-15 14:56:13
319
原创 Series的属性简介
摘要: 本文介绍了Pandas Series的核心属性及索引方法。Series的主要属性包括index(索引)、values(值)、dtypes(数据类型)、shape(形状)、ndim(维度)、size(元素个数)和name(名称)。在索引访问方面,提供了loc[](标签索引)、iloc[](位置索引)、at[](标签访问单个元素)和iat[](位置访问单个元素)四种方式。通过示例代码演示了如何创建Series,并展示了不同索引方法的使用效果,包括显示索引、隐式索引以及单个元素的访问操作。
2025-12-15 14:36:50
461
原创 Series创建
Pandas中的Series是一种一维标记数组,可以存储各种数据类型。本文介绍五种创建Series的方法:1)基本列表创建;2)自定义索引创建;3)添加name属性;4)通过字典创建;5)引用其他Series创建。每种方法都提供了示例代码和运行结果,展示了如何生成带有默认索引、自定义索引或特定名称的Series对象,以及如何通过字典或其他Series来构建新的Series。这些方法为数据分析和处理提供了灵活的选择。
2025-12-01 15:51:15
283
原创 pandas简介
Pandas是一个基于NumPy的高性能Python数据分析库,提供Series和DataFrame两种核心数据结构。它具备高效处理大型数据集的能力,支持数据对齐、缺失值处理、时间序列操作等功能。DataFrame作为二维表格结构(行索引+列名)比一维的Series更常用,两者都构建在快速NumPy数组之上。Pandas广泛应用于金融、统计等领域,支持从多种文件格式加载数据,并提供类似SQL的数据操作功能,是Python数据分析的重要工具。
2025-12-01 15:33:32
314
原创 numpy -- argmax()、argmin()简介
NumPy的argmax()和argmin()函数用于返回数组中最大值和最小值的索引。argmax()返回最大值索引,argmin()返回最小值索引,可以沿指定轴(axis=0/1)操作。示例展示了在二维数组中查找全局极值索引,以及沿行(axis=1)和列(axis=0)方向查找极值索引的用法。这两个函数在处理多维数组时非常实用,能快速定位极值位置,是数据分析中的常用工具。
2025-10-28 18:03:30
287
原创 numpy -- max()、min()简介
NumPy的max()和min()函数用于计算数组元素的最大值和最小值。max()返回沿指定轴的最大值,min()返回最小值。示例展示了两种用法:1)对整个数组求极值;2)按行(axis=1)或列(axis=0)求极值。运行结果验证了函数能正确返回数组全局极值及各轴向极值。这两个函数是NumPy数值计算的基础工具,支持多维数组操作。
2025-10-28 17:57:48
338
原创 numpy排序函数argsort()介绍
摘要: argsort()函数对数组沿指定轴间接排序,返回排序后的索引数组,用于重构排序结果。示例展示了使用该函数对数组进行排序的应用场景及效果。
2025-10-14 18:02:21
155
原创 numpy排序函数sort()介绍
numpy的sort()函数用于对数组进行排序,返回排序后的副本。主要参数包括:a(待排序数组)、axis(排序轴,0按列/1按行)、kind(排序算法,默认快速排序)、order(按字段排序)。该函数支持多维数组排序,不改变原数组而是返回新数组。示例展示了如何使用sort()对数组进行行、列排序操作。
2025-10-14 17:57:31
296
原创 numpy -- average()函数简介
average()函数用于计算数组元素的加权平均值,通过将各元素与其对应权重相乘后求和,再除以权重总和得到结果。对于一维数组如[1,2,3,4]和权重[4,3,2,1],计算过程为(1*4+2*3+3*2+4*1)/(4+3+2+1)。该函数支持多维数组并可通过轴参数指定计算维度,未指定时数组将被展开处理。示例包含一维和多维数组的计算演示。
2025-10-10 18:45:28
463
原创 numpy -- 统计函数 mean() 函数简介
mean()函数用于计算数组元素的算术平均值。若指定轴参数,则沿该轴方向计算均值。图示展示了该函数的应用场景及效果。该功能适用于数据统计分析场景,能快速获取数据集的集中趋势特征。
2025-10-10 18:37:20
402
原创 numpy -- 统计函数 median() 求中值
median()函数用于计算数组元素的中位数(中间值)。对于奇数个元素,返回中间值;偶数个元素则返回中间两个数的平均值。示例展示该函数的具体应用场景和计算结果。
2025-10-09 18:44:38
183
python写入txt文件
2022-07-04
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人
RSS订阅