web安全一些简单知识

已于 2022-06-18 22:33:11 修改
阅读量209 收藏 1
点赞数 1
文章标签: php 开发语言
于 2021-08-20 00:00:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51313108/article/details/119813546
版权

将PHP中一些杂东西

网站的备份文件

网站的文件都是放置在www文件夹下面的,zip是一种压缩格式。也就是WWW文件夹里面的文件全部压缩在www.zip里面了。
网页的备份文件:常见的备份文件后缀名有 .git .svn .swp .~ .bak .bash_history

URI编码

有时候不进行URI编码可以成功,有时候会失败;失败后可以URI编码试试。

cookie的1值

有时候写的没问题就是得不到答案可能是cookie的值不是1,把0改成1。

Base加密

识别
base32只有大写字母和数字组成或者后面有三个等号
base64有大写字母,小写字母,数字组成,后面一般有俩个等号

常用的PHP函数

phpinfo():用于查看后端的配置信息,配置信息里的disable_functions可以看到被禁用的php函数

  • 命令执行(一句话的一些问题):有时候system和exec函数被禁用,可以用php函数查找文件和读文件scandir()以及fileread
    • 要想得到结果必须还要有var_dump函数将它们输出var_dump函数详解
    • 查找文件:scandir('directory') ,参数是查找的目录字符串。函数返回指定目录中的文件和目录的数组。scandir函数详解
    • 读文件:readfile('filename'),参数是想读文件的路径。如果成功,该函数返回从文件中读入的字节数。如果失败,该函数返回 FALSE 并附带错误信息。函数readfile详解
    • 读文件:file_get_contents('filename'),参数是想读取文件的路径。file_get_contents() 把整个文件读入一个字符串中。该函数是用于把文件的内容读入到一个字符串中的首选方法。file_get_contents函数详解

is_numeric() 函数用于检测变量是否为数字或数字字符串(仅含有数字的字符串)
strcmp strcmp()函数比较,这个也是经常碰到的,strcmp(a,b),如果a<b返回负数,如果a>b返回正数,如果a=b返回0。但是,如果a,b的类型不匹配,它会报错返回0。php传递数组的方法
** echo、print和print_r的区别**
1、echo 可以输出一个或多个字符串 ,多个以逗号隔开就行
2、print 也可以输出一个或多个字符串 ,多个要用连接符
3、print_r()可以打印数组;对象

山中雨客
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见网站备份文件字典(2954).txt
12-06
常见网站备份文件字典,2954条,有需要的朋友欢迎下载。
web渗透基础知识web学习入门必看
2202_75361164的博客
09-10 198
web渗透基础知识web学习人员入门必看
备份文件下载(web
qq_53106085的博客
07-12 418
常见备份文件后缀名有:“.git” 、“.svn”、“ .swp”、“.~”、“.bak”、“.bash_history”、“.bkf” 尝试在URL后面,依次输入常见的文件备份扩展名。 例如:backup(攻防世界web新手练习区) 打开场景后显示: ...
bak文件、vim、.DS_Store文件
m0_53268118的博客
05-12 507
bak文件、vim、.DS_Store文件
常见网站源码备份文件名(后缀)
东隅的博客
12-19 1395
备份文件后缀
ALLLLlLL12的博客
11-18 5614
常见备份文件后缀名有 .git .svn .swp .~ .bak .bash_history 一个一个试,发现是.bak,最后下载.bak后用记事本打开,获得flag
攻防世界(WEB) backup
qq_54929891的博客
08-23 167
常见备份文件后缀名有 .git .svn .swp .~ .bak .bash_history 在链接后面直接一个一个试最后得知/index.php.bak是它的备份文件名 进入后自动下载一个备份文件 用记事本打开,发现flag ...
安全Web安全学习笔记
02-26
6年的web编程生涯,一直没有真正系统的学习web安全知识(认证和授权除外),这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录...
Web安全课程简单靶场.zip
01-14
在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以...
Web安全学习笔记 2021 中文PDF最新版
04-13
Web安全学习笔记是一个Web安全学习帮助参考文档,在学习Web安全的过程中,深切地感受到相关的知识浩如烟海,而且很大一部分知识点都相对零散,如果没有相对清晰的脉络作为参考,会给学习带来一些不必要的负担。...
CTFHub-web(备份文件下载)
分享与记录
08-23 5138
技能树-备份文件下载网站源码bak文件vim缓存.DS_Store 网站源码 1. 分析题目 看样子,应该是这些文件名和后缀的组合 2. 简单写个python脚本 找到哪个组合可以访问 import requests url = "http://challenge-7e606a61e832074e.sandbox.ctfhub.com:10080" li1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp'] li2 = ['
web备份文件后缀名-常见
my_name_is_sy的博客
05-26 212
个人笔记,欢迎讨论。我想找几种文件的区别,但是没找到,哪位大佬知道的话麻烦给说一声,谢谢啦
各种常见文件名后缀
jxpt的专栏
12-27 2330
常见的文件后缀名 http://www.enet.com.cn/article/2004/1025/A20041025355359_5.shtml ACA  Microsoft的代理使用的角色文档 acf  系统管理配置 acm  音频压缩管理驱动程序,为Windows系统提供各种声音格式的编码和解码功能 aif  声音文件,支持压缩,可以使用WindowsMediaPlay...
常见Web源码泄露
qwzf
08-15 1225
写在前面 源码泄露漏洞成因 把网站部署在某一个虚拟主机上面,然后把代码先打包压缩后上传,上传成功后再去服务器解压。虽然解决了上传速度慢的问题。但压缩包解压后如果没有删除,当攻击者发现后就可以把代码压缩包下载;因为部署到服务器上的都是源代码,这时候攻击者就可以通过代码进一步挖掘一些安全漏洞:文件上传,SQL 注入等等。 0x01 .git源码泄漏 当在一个空目录执行 git init 时,Git 会...
常见网站源码备份文件扫描脚本
Senimo
03-01 2738
常见网站源码备份文件扫描脚本 # python3 import requests # url1为被扫描地址,后不加‘/’ url1 = 'http://challenge-3d8be6a2b5195774.sandbox.ctfhub.com:10080' # 常见网站源码备份文件名 list1 = ['web', 'website', 'backup', 'back', 'www', 'ww...
Web安全学习积累——robots协议与备份文件后缀
qq_53099802的博客
04-15 1712
web的robots协议和备份后缀
Web】CISCN 2024初赛 题解(全)
uuzeray的博客
05-21 1175
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
【全开源】沃德商协会管理系统源码(FastAdmin+ThinkPHP+Uniapp)
最新发布
u011092458的博客
05-25 419
一款基于FastAdmin+ThinkPHP+Uniapp开发的商协会系统,新一代数字化商协会运营管理系统,以“智慧化会员体系、智敏化内容运营、智能化活动构建”三大板块为基点,实施功能全场景覆盖,一站式解决商协会需求壁垒,有效快速建立自有数字化管理体系、提升组织管理效能、增强会员粘性、沟通连接市场,真正做到为构建有影响力的现代化智慧型组织赋能。数据决策支持:沃德商协会管理系统源码提供的数据统计和分析功能,为商协会提供了宝贵的决策支持,帮助商协会更好地了解市场需求和会员需求,制定更精准的发展战略。
web前端开发需要掌握哪些网络基础知识
09-17
### 回答1: Web前端开发需要掌握的网络基础知识包括: - HTML: 超文本标记语言,用于描述网页的结构 - CSS: 层叠样式表,用于控制网页的外观 - JavaScript: 用于控制网页的行为 - HTTP: 超文本传输协议,用于在浏览器和服务器之间传输数据 - HTTPS: 安全的HTTP协议,用于在浏览器和服务器之间传输加密数据 - AJAX: 异步javascript和XML,用于在网页上实现异步数据交互 - API: 应用程序编程接口,用于网页和服务器之间传输数据 - IP地址,DNS,TCP/UDP,端口号,这些都是基础网络知识 ### 回答2: Web前端开发需要掌握以下网络基础知识: 1. HTTP协议:了解HTTP协议的基本概念、请求方法、状态码、报文格式等。掌握HTTP请求和响应过程,以及常见的HTTP头部字段。 2. 网络通信基础:了解TCP/IP协议族的基本原理和工作机制,包括IP地址、域名解析、端口等。理解TCP和UDP协议的区别和特点。 3. DNS解析:了解域名系统(DNS)的作用和工作原理,包括域名解析过程、DNS缓存等。掌握如何配置和管理域名。 4. 网络安全:了解网络安全的基本概念,包括跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、SQL注入等常见的网络安全问题。学习如何防范和处理这些安全漏洞。 5. WebSocket:了解WebSocket协议的基本原理和特点,能够使用WebSocket实现实时通信功能。 6. 前后端交互:掌握AJAX技术,了解JSON、XML等数据格式的基本概念。能够使用XMLHttpRequest对象向服务器发送异步请求,获取并处理服务器返回的数据。 7. 网络调试工具:掌握常用的网络调试工具,如浏览器开发者工具、Postman等,能够利用这些工具进行网络请求的调试和分析。 8. 前端性能优化:了解前端性能优化的基本原则和常用方法,如压缩资源、合并文件、使用CDN等。能够通过优化网络请求和渲染流程来提升网页的加载速度和响应性能。 总之,掌握了这些网络基础知识,能够更好地理解Web前端开发中的网络交互过程,解决常见的网络问题,并进行性能优化,从而提供更好的用户体验。 ### 回答3: Web前端开发需要掌握以下网络基础知识: 1. HTTP协议:了解HTTP协议的工作原理和常见的请求方法(GET、POST等),了解HTTP头部信息和状态码的含义,以及HTTP的持久连接和缓存等相关概念。 2. HTML和CSS:熟悉HTML和CSS的基本语法和常用标签,了解HTML文档的结构和CSS样式的应用方式,能够根据设计稿实现页面的布局和样式。 3. JavaScript:熟悉JavaScript的基本语法和常用的DOM操作,了解事件处理、Ajax和跨域请求等基本概念,能够编写简单的交互逻辑和动态网页。 4. 网络安全:了解常见的网络攻击方式(如XSS和CSRF)以及相应的防御方法,熟悉HTTPS协议的工作原理和使用方式,能够编写安全性较高的前端代码。 5. 前端性能优化:了解前端页面加载的过程和性能优化的方法,包括减少HTTP请求、压缩和合并静态资源、使用缓存、异步加载等。 6. 浏览器原理:了解浏览器的工作原理,包括渲染引擎的处理流程、页面解析和布局、渲染性能优化等,能够针对不同浏览器进行兼容性处理。 7. 前端框架和工具:熟悉常用的前端框架和工具(如React、Vue、Webpack等),了解它们的工作原理和使用方式,能够快速搭建和优化项目。 综上所述,掌握以上网络基础知识能够使前端开发者更好地理解和应用Web技术,提高开发效率和网页性能,并且能够处理一些网络安全和兼容性问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值