- 博客(20)
- 收藏
- 关注
RSS订阅原创 CSRF漏洞详解
协议相同域名相同端口相同跨站请求伪造(也称为 CSRF)是一种 Web 安全漏洞,允许攻击者诱导用户执行他们不打算执行的操作。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。从上图能够看出,要完毕一次CSRF攻击,受害者必须依次完毕两个步骤:登录受信任站点A,并在本地生成Cookie。在不登出A的情况下,访问危急站点B。
2024-04-16 10:45:29
289
原创 tomcat中间件漏洞
Tomcat是常见的免费的web服务器.Tomcat 这个名字的来历,Tomcat是一种野外的猫科动物,不依赖人类,独立生活。Tomcat的作者,取这个名字的初衷是希望,这一款服务器可以自力更生,自给自足,像Tomcat这样一种野生动物一般,不依赖其他插件,而可以独立达到提供web 服务的效果。
2024-04-13 17:45:27
388
1
原创 Apache中间件漏洞
Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。
2024-04-12 19:05:35
716
原创 文件包含漏洞详解(超级详细)
程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含。服务器执行PHP文件时,可以通过包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件。
2024-04-11 10:59:48
3851
1
原创 Burpsuite模块—-Intruder模块详解
Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击认证系统;枚举;操纵参数;拖出隐藏的内容和功能;会话令牌测序和会话劫持;数据挖掘;并发攻击;应用层的拒绝服务式攻击。
2024-04-09 16:01:45
2010
原创 burpsuite的原理及代理的设置
它由 PortSwigger 开发,广泛用于安全专业人员、渗透测试员和Web开发人员中,用于识别和利用Web应用程序中的漏洞。Burp Suite 是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用 Burp Suite 将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉 Burp Suite 的使用,也使得渗透测试工作变得轻松和高效。第二步:打开浏览器,并设置burp的代理。
2024-04-08 17:49:24
2604
原创 DVWA靶场的下载与搭建
靶场就是人为提供的带有安全漏洞的服务,每一个学习者都可以在本地快速搭建来实操,回溯漏洞的发生原理以及操作方式。DVWA靶场呢就是一个可以通过浏览器访问的拥有可视化页面的web靶场。
2024-04-07 16:55:17
924
原创 Phpstuday的安装与下载
phpstudy是一个php运行环境的集成包,用户不需要去配置运行环境,就可以使用,phpstudy不仅是一款比较好用的php调试环境工具,并且还包括了开发工具和常用手册,对于新手是有很大帮助的。phpstudy适合多种系统操作,并且支持IIS和Nginx,phpstudy程序包集中了很多php版本的编写语言,运行速度也是很快的。第一步:双击运行phpstuday程序,选择文件安装的位置,再点击是。第一步:打开phpstuday的官网。第四步:选择自己所需要的版本。第三步:选择要下载的版本。
2024-04-06 15:33:00
277
3
原创 cookie和session详解
http是无状态协议,每次请求都是独立的线程。所以为了维护上下文信息,追踪同一个用户。Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。Session是服务器端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的HTTPSession对象中。
2024-04-05 20:42:28
581
1
原创 HTML基础(超级详细)
HTML(HyperText Markup Language)是一种用于创建网页的标记语言。它通过标记符号来描述网页的结构和内容,是万维网(World Wide Web)的基础语言。HTML可以用来创建静态网页,也可以与JavaScript和CSS等技术结合,创建动态交互式的网页。HTML文档由各种元素(elements)组成,如标题、段落、列表、链接、图片等。自定义列表不仅仅是一列项目,而是项目及其注释的组合。自定义列表以 <dl> 标签开始。每个自定义列表项以 <dt> 开始。
2024-04-04 13:31:27
2468
1
原创 解决Linux操作系统查看不到IP地址
第二步:将 /etc/sysconfig/network-scripts/ifcfg-ens33 文件中的ONBOOT=no修改为yes。第一步:查看 /etc/sysconfig/network-scripts/ifcfg-ens33 文件,发现ONBOOT=no。第三步:重启Linux网卡,发现IP地址出现,问题成功解决。
2024-04-03 09:40:01
2059
1
原创 远程连接ssh服务及Xshell工具的使用
SSH(secure shell protocol),是一种应用在应用层的网络安全协议,用于计算机之间的加密登录。默认情况下SSH服务提供两种功能,一个是远程控制服务器,第二个是对传输的数据进行加密,保护传输数据的安全性通俗来ssh服务主要功能是进行远程连接到主机或者服务器。
2024-04-02 15:36:26
2084
1
原创 Vmware虚拟机的网络设置
通俗来讲Nat模式就是自己的物理机给虚拟机分配设置好的IP地址,使物理机和虚拟机处于同一网段,即可进行通信,虚拟机如果访问互联网,流量通过自己的物理机进行转发,即可访问互联网(前提自己物理机可以访问到互联网)通俗来讲仅主机模式就是自己的物理记给虚拟分配设置好的IP地址,使物理机和虚拟机处于同一网段,即可进行通信,只有虚拟机和物理主机之间ping通,不可以访问互联网。配置方法与nat模式一样,同样在虚拟网络编辑器中设置仅主机模式的配置,在虚拟机中将网络类型设置为仅主机模式。仅主机模式(Host-Only)
2024-04-01 21:51:47
2208
原创 Linux基础命令(超级详细)
Linux 内核最初只是由芬兰人林纳斯·托瓦兹(Linus Torvalds)在赫尔辛基大学上学时出于个人爱好而编写的。Linux 是一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 和 UNIX 的多用户、多任务、支持多线程和多 CPU 的操作系统。Linux 能运行主要的 UNIX 工具软件、应用程序和网络协议。它支持 32 位和 64 位硬件。Linux 继承了 Unix 以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。
2024-03-30 15:11:15
3317
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人