- 博客(15)
- 收藏
- 关注
RSS订阅原创 复现XSS漏洞及分析
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web安全漏洞,攻击者通过在Web应用中注入恶意脚本代码,使其在用户浏览器中执行,从而盗取用户信息、会话令牌等敏感数据。在本文中,我们将介绍如何复现一个简单的XSS漏洞,并进行必要的代码解释和分析。在这个示例中,漏洞的原因在于未对用户输入进行适当的过滤和转义。在实际开发中,开发人员应该始终对用户输入进行充分的验证、过滤和转义,以防止XSS等安全漏洞的出现。在这个示例中,用户输入的内容将被显示在页面上。在修复版中,我们使用了。
2023-09-01 13:11:42
244
1
原创 Wireshark抓包分析网络流量
在“Packet Details”面板中,展开“Hypertext Transfer Protocol”部分,你将看到HTTP请求的详细信息,包括请求方法、URI、主机等。此外,你还可以在数据包列表中右键点击某个HTTP请求的数据包,然后选择“Follow” > “HTTP Stream”,以查看完整的HTTP请求和响应。选中一个HTTP请求的数据包,你可以在底部的“Packet Details”面板中看到数据包的各种信息,包括协议、源和目标IP地址、端口等。,这将只捕获与HTTP相关的数据包。
2023-09-01 13:06:44
1276
1
原创 远程调试环境配置
安装Xdebug:在服务器上安装适用于你的PHP版本的Xdebug。可以通过包管理工具(如apt、yum、brew)或手动编译安装。确保在php.ini中启用Xdebug并设置相关参数。通过以上步骤,你就可以在VS Code中搭建远程调试环境,并开始调试你的PHP代码了。务必确保所有配置选项和路径映射都正确设置,以确保调试器能够正常与远程服务器进行通信并调试代码。在扩展视图中,搜索并安装与PHP开发相关的插件,例如“PHP Intelephense”用于代码补全和“PHP Debug”用于调试。
2023-09-01 12:58:33
132
1
原创 配置Wazuh环境并漏洞复现实验
Wazuh是一个开源的安全信息和事件管理(SIEM)平台,用于监控和分析实时安全事件。在本文中,我们将探讨如何配置Wazuh环境,并进行一个简单的漏洞复现实验。我们将在Ubuntu操作系统上完成整个过程。
2023-08-24 08:47:00
256
1
原创 代码逐行的解释
key_size=2048 指定了生成的RSA密钥的位数,也就是密钥的长度,在rsa加密中密钥的长度一般以位数表示,例如,2048比1024更加安全,因为有更大的组合空间,更不容易被破解。需要注意,解密的成功需要使用与加密时使用的填充方案相同的设置和密钥对。在这段代码中,`private_key` 是生成的私钥,而 `public_key` 则是从私钥生成的对应的公钥。所以,整体来说,这段代码的作用是使用私钥对已加密的数据进行解密。所以,整体来说,这段代码的作用是使用公钥对给定的数据进行加密。
2023-08-21 22:33:36
125
1
原创 RSA非对称加密的实际案例
接下来,我们将创建一个使用RSA算法的示例,用于对数据进行加密和解密。这个案例将涵盖密钥生成、加密、解密等过程。首先,确保你已经安装了。
2023-08-21 22:14:51
71
1
原创 利用PCRE回溯次数限制绕过安全限制的实战案例
通过实际案例,我们可以看到正则表达式的回溯特性在安全领域中可能被利用,从而绕过一些安全限制。防范此类攻击的关键是在编写正则表达式时避免使用易导致回溯的模式,并且设置合适的回溯次数限制。",通过这个字符串,攻击者可以让服务器在尝试匹配时陷入大量的回溯,从而导致服务器响应变慢甚至崩溃。在匹配的过程中,会使用有限状态自动机的概念,包括确定性有限状态自动机(DFA)和非确定性有限状态自动机(NFA)。然而,攻击者可以利用此特性来绕过某些安全限制,例如在某些情况下,让服务器消耗过多的时间来进行正则匹配。
2023-08-19 22:10:16
278
原创 配置docker,复现案例
通过本文,我们详细介绍了如何使用Docker来复现一个简单的Python应用程序案例。从安装Docker到编写Dockerfile、构建镜像和运行容器,每个步骤都被详细解释和演示。Docker的强大功能使得应用程序的开发、测试和部署变得更加高效和一致。通过使用Docker,我们可以确保应用程序在不同环境中运行一致,并能够轻松地在不同系统上部署应用程序。无论您是开发人员还是系统管理员,掌握Docker都将是一项非常有价值的技能。
2023-08-13 08:56:40
56
1
原创 awk的经典实战案例——筛选给定时间范围内的日志
时间戳(Timestamp)是一种表示时间的方式,通常是一个整数或浮点数,代表从某个固定时间点(通常是1970年1月1日00:00:00 UTC)起经过的秒数或毫秒数。在计算机中,时间可以使用时间戳表示,也可以使用日期时间格式表示。实例1: 2023-08-05 12:30:15 实例2: 2023-08-06 09:15:20 实例3: 2023-08-06 09:15:25。现在我们要筛选出在 2023年8月6日 00:00:00 到 2023年8月6日 12:00:00 之间的日志。
2023-08-06 09:25:04
541
原创 渗透攻击漏洞之——原型链污染
原型对象在JavaScript中,每个对象都有一个原型对象。原型对象定义了对象共享的属性和方法。我们可以将原型对象看作是对象的“父类”,它包含着对象继承的内容。在JavaScript中,原型对象通常是一个普通的对象。");在上面的示例中,我们定义了一个构造函数Person,它有一个sayHello方法,然后我们通过new关键字创建了两个实例john和mary。这两个实例可以访问中定义的sayHello方法,这就是原型对象的作用。prototype 属性的作用prototype。
2023-08-02 21:16:16
101
原创 网络安全知识总结
简要来说,递归解析是向本地DNS服务器一步步请求,直到找到最终的IP地址,而迭代解析是向根域服务器一步步请求,直到找到最终的IP地址。在渗透防御中,前端基础是非常重要的,因为大多数网络攻击都是通过Web应用程序进行的。:CSRF攻击是另一种常见的Web攻击,攻击者利用用户的身份执行未经授权的操作。:HTML是构建Web页面的基础语言,用于定义网页的结构和内容。:为了加快域名解析速度,DNS会对解析结果进行缓存,这样在后续的解析请求中可以直接使用缓存的结果,而不必再进行递归或迭代解析。
2023-08-02 20:47:54
43
原创 在Win10环境下使用VSCode进行PHP断点调试
在开发PHP应用程序时,调试是一个非常重要的环节,它可以帮助我们快速定位和解决问题。在Win10环境下,使用VSCode结合Xdebug进行PHP断点调试是一种高效且便捷的方式。本文将介绍如何在Win10环境下配置VSCode和Xdebug,以便于进行PHP断点调试。
2023-07-24 19:37:52
721
原创 WEB—CSS知识点总结
1、伪类选择器CSS 伪类是添加到选择器的关键字,用于指定所选元素的特殊状态。例如,伪类 :hover 可以用于选择一个按钮,当用户的指针悬停在按钮上时,设置此按钮的样式。伪类由冒号(:)后跟着伪类名称组成(例如,:hover)。函数式伪类还包含一对括号来定义参数(例如,:dir())。附上了伪类的元素被定义为锚元素(例如,button:hover 中的 button)。
2023-07-10 22:53:33
341
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人