- 博客(16)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 Web安全原理(5)——文件上传漏洞
1.文件上传漏洞简介(1)如果Web应用不对上传的文件进行严格验证和过滤,Web应用就容易受到文件中的恶意脚本攻击,进而攻击者便可以通过脚本控制整个网站,乃至服务器。(2)攻击者上传的恶意脚本文件,又被称为WebShell,WebShell脚本也是一种网页后门。WebShell脚本能够查看服务器目录、服务器中的文件,甚至执行系统命令。 2.JS检测绕过攻击(1)简介:JS检测绕过漏洞主要出现在用户上传文件的场景中,此时页面提示需按照文件后缀要求上传文件,上传文件的数据包还未发往服务器中,
2021-09-06 21:50:52
894
原创 Web安全原理(4)——SSRF
Web安全原理(4)——SSRF1.SSRF简介2.SSRF原理3.实战演示4.SSRF漏洞修复建议1.SSRF简介SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。 2.SSRF原理(1) 成因:由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做
2021-09-05 16:42:53
367
原创 Web安全原理(3)——CSRF
Web安全原理(3)——CSRF1.CSRF简介2.实战演示3.CSRF漏洞修复建议1.CSRF简介(1)CSRF(Cross-site request forgery,跨站请求伪造),通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。同XSS一样,但很多时候很多人经常把XSS与CSRF漏洞混淆,它们之间有着本质的不同,就从信任的角度来区分:XSS:利用用户对站点的信任;CSRF:利用站点对已经身份认证的用户的信任,即攻击者伪装成站点受信用户进行攻击。漏洞利用条件:1、被害用户已经
2021-09-04 22:37:54
564
原创 Web安全原理(2)——XSS
1.XSS简介跨站脚本攻击(Cross-Site Scripting,XSS)是针对网站应用程序的安全漏洞攻击技术,也是一种代码注入技术。攻击者往Web页面里插入恶意Script代码,当其他用户浏览网页触发恶意代码就会遭到攻击。这里的跨站访问,可以是从正常的网站跨到黑客的服务器,也可以是黑客的服务器跨到正常的网站。XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以XSS漏洞关键就是寻找参数未过滤的输出函数。XSS攻击分为三种:反射型、存
2021-09-03 15:14:32
285
原创 WEB安全原理(1)——SQL注入
1.Union注入如果通过sql注入,页面上能获取预期信息,则可使用Union注入。(1)判断是否存在注入点(区分下是数字型注入还是字符型注入)id=1 # 正常回值id=1' # 异常回值id=1 and 1=1 # 正常回值id=1 and 1=2 # 异常回值(2)判断表中的字段数id=1 order by [1,2,3,……]使用order by语句,后面跟随具体数字,这些数字可用于指代表中字段名,观察数字从1开始递增到哪个数字为止,界面回值均会正常,则那个终止的数字则为字段
2021-09-01 14:53:05
564
原创 python—AES加密
一.字符编码1.Unicode(统一码、万国码、单一码)是一套由国际组织制定的可以容纳世界上所有文字和符号的字符编码方案,可以理解为是一套规范,而不是具体的实现方案。UTF-8/UTF-16/UTF-32 是具体的将文本信息进行存储或传输的编码实现方案。其中 UTF-16 和 Unicode 编码大致一样, UTF-8 为了节省存储空间,以 8 位为单元对 Unicode 进行编码。&nbs...
2020-02-16 19:35:02
5970
原创 python—排序算法
一.直接插入排序算法原理:将待排序序列分为有序区和无序区,每次将无序区中的第一个元素插入有序区中,直至无序区元素为空,排序完成。(1)初始时,将待排序列的第一个元素作为有序区,其后剩余序列作为无序区。(2)将无序区的第一个元素与有序区的元素从后往前比较大小,若小于,则将该有序区元素后移一位,直至出现大于等于的情况,便找到了插入位置。(3)无序区元素为空时,排序完成。python代码:...
2020-02-13 14:55:53
149
原创 DAY9 python学习 测试代码
测试代码 一.测试函数测试函数如下:name_function.pydef get_complete_name(first,last): """ 形成完整的姓名 """ full_name=first+' '+last return full_name.title()names.py.from name_function import get_co...
2020-01-29 22:09:57
174
原创 DAY8 python学习 文件和异常
文件和异常一.从文件中读取数据1.读取整个文件with open('test.txt') as file_object: contents=file_object.read() print(contents.rstrip())(1)函数open():用于打开文件(任何方式使用文件之前,都必须先打开文件),该函数接受一个参数:要打开文件的名称...
2020-01-28 21:46:55
139
原创 DAY7 python学习 类
类一.创建和使用类1.创建类class Identity(): """ 个人身份 """ def __init__(self, name, age): """ 初始化属性name和age """ self.name=name self.age=age def eat(self): ''' 模拟人吃饭 ...
2020-01-23 21:15:17
123
原创 DAY6 python学习 函数
函数一.定义函数1.基本结构:使用关键字def来定义函数,后再指定函数名,括号内传递参数,最后仍是以冒号结尾。def function_name(): """文档字符串""" ...............第二行是被称为文档字符串的注释,描述函数时做什么的,用三引号括起来,Python 用它们来生成有关程序中函数的文档。2.实参和形参:real_value='manage' ...
2020-01-14 20:09:03
142
原创 DAY5 python学习 用户输入输出和while循环
用户输入1.函数input()的工作原理:让程序暂停运行,等待用户输入一些文本。用户输入后,python将其存储在一个变量中。函数input()接受一个参数:即向用户显示的提示或者说明,让用户知道如何去做。name=input('Please tell me your name:')print('OK, i know your name is '+name+'.')2.使用函数int(...
2020-01-11 14:58:49
208
原创 DAY4 python学习 字典
字典一.使用字典1.基本概念:python中字典是一系列键-值对的集合。(1)每个键都与一个值关联,这个值可以是数字、字符串、列表甚至是字典,可以使用键来访问与键相关联的值;(2)python中一系列键-值对放在花括号{}中;(3)键-值之间用冒号:隔开,而键-值对之间用逗号隔开。identity={'name':'yu','age':12}2.访问字典中的值:先指定字典名,然后将...
2020-01-09 22:43:11
107
原创 DAY3 python学习 if语句
if语句一.条件测试name=='yu' #“==”检查是否相等name!='yu' #“!=”检查是否不相等age>12 #比较运算符用于比较数字name='yu' and age=12 #“and”用于检查多个条件是否同时满足name='yu' or age=12 #“or”用于判断至少有一个条件满足name in names #用关键字“in”检查特...
2020-01-08 14:41:05
130
原创 DAY2 python学习 列表
列表一.列表基本概念1.python中用方括号[ ]来表示列表,用逗号隔开元素2.python与其他语言一样,第一个列表元素索引是从0开始而不是从1开始3.特殊:python中用负数索引,来表示倒数第几个元素。例如,指定索引为-1返回列表最后一个元素二.修改、添加和删除元素1.修改:指定列表名和索引号,对列表元素重新复制即可。2.添加:(1)末尾添加:对列表使用方法append(...
2020-01-06 21:58:17
156
原创 DAY1 python学习 变量
变量一.python变量1.不需要进行变量类型声明2.命名:(1)变量名只能含有字母、数字、下划线。可以以字母或下划线开头,但不能以数字开头;(2)变量名不能含有空格;二.字符串1.声明:用单引号或双引号均可,也可以混合使用,但都必须成对存在。2.修改字符串大小:(1)name.title()首字母大写(2)name.upper ()全部大写(3)name.lower() ...
2020-01-05 12:42:20
102
空空如也
web安全 报错注入问题
2021-08-24
TA创建的收藏夹 TA关注的收藏夹
TA关注的人