- 博客(8)
- 收藏
- 关注
RSS订阅原创 SQL注入与防御
SQL注入的核心风险在于“用户输入未被安全处理”,防御的关键是避免直接拼接用户输入到SQL语句中。参数化查询是最有效的防御手段,同时结合输入验证、权限控制等措施,可大幅降低漏洞风险。SQL注入是一种常见的Web安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,欺骗服务器执行非预期的数据库操作,从而获取数据、篡改数据或控制数据库。3. 参数传递:URL中参数被拼接成SQL语句,如 id=1' 导致语句报错。1. 登录界面:输入 ' or '1'='1 ,绕过身份验证。四、防御措施(核心方法)
2025-06-29 17:22:18
338
原创 CTF [HCTF2018]WarmUp
代码设置了白名单hint.php和source.php所以首先先去查看一下hint.php文件的内容:页面回显提示flag不在这里而在另一个文件夹下,所以这里就想先让代码返回true然后执行文件包含,查看flag文件。审计代码发现:mb_substr(str1,start,[length][,[str2]]):是在str1从start开始length为长度截取字符串,str2是表示字符编码mb_strpos(str1,str2):查找str2在str1中出现的位置。
2025-06-29 17:17:12
272
原创 上传漏洞的利用与防范方法研究课程设计报告
2. 路径遍历漏洞:若服务器在保存上传文件时,对文件保存路径处理不当,恶意用户可利用路径遍历技巧,将文件上传至服务器的关键目录,如Web根目录,进而通过访问上传的恶意文件获取服务器控制权。上传漏洞指的是由于服务器端在处理用户上传文件时,未对文件的类型、内容、大小等关键信息进行严格的合法性验证与过滤,导致恶意用户能够上传可执行脚本、病毒文件等恶意文件,从而获取服务器权限或对系统进行破坏的安全隐患。服务器通过结合扩展名和文件头检测,拒绝上传该文件,提示文件类型不合法,验证了文件类型验证防范方法的有效性。
2025-06-20 23:12:50
502
原创 实训周心得(第三天)
日志分析的核心价值:查看Tomcat的access.log时,发现大量对index_bak.jsp的POST请求,提取攻击者IP后,通过溯源确认其利用Tomcat弱口令漏洞上传木马。多源数据关联分析:将系统日志(如auth.log记录的SSH登录)、中间件日志(Tomcat访问日志)、数据库日志(慢查询、错误日志)交叉比对,才能完整还原攻击路径。通过本次应急响应实战实训,我在主机入侵与数据泄露场景的分析能力上有了显著提升,对网络安全事件的排查逻辑和技术工具有了更深入的理解。三、核心能力提升与实战启示。
2025-04-24 22:56:09
387
原创 实训周心得(第二天)
深刻体会到网络安全需兼具技术敏感度与逻辑严谨性,未来需加强对新型攻击手段(如无文件攻击、加密流量渗透)的学习,夯实实战防御技能。2. SQL注入攻击识别:捕捉含 union 、 and 等关键词的恶意语句,跟踪攻击流程,发现黑客通过构造Payload获取数据库长度、名称的手法,深刻认识SQL注入的危害与防范要点。1. IP追踪与爆破分析:从返回的数据包中定位黑客IP,解析爆破时提交的用户名、密码字段,明确攻击目标(如 admin 账户)。流量追踪:通过wireshark根据进行数据追踪,可以分析文件内容。
2025-04-22 21:54:41
240
原创 实训周心得(第一天)
在信息收集阶段,我学会了使用工具和技术获取目标Web应用程序的相关信息,在漏洞扫描时,我运用了御剑工具,这些工具能够快速地检测出目标站点可能存在的后台漏洞。例如,攻击者可以通过特殊构造的搜索语句,利用SQL注入漏洞获取网站数据库中的敏感信息,这不仅会对新闻网站的正常运营造成影响,还可能导致用户数据泄露,损害用户的权益和网站的信誉。包罗万象中,测试者构造url参数,通过#(%23)截断.php后,利用zip伪协议解压上传的webshell,再通过获取的webshell地址,再用蚁剑连接即可访问网页目录文件。
2025-04-21 23:33:23
339
原创 密码学中的中国剩余定理研究与应用
通过对中国剩余定理在密码学中的应用进行深入研究和分析,我们提出了基于中国剩余定理的公钥密码系统、批量数字签名算法和多因子认证方案等解决方案,并进行了实验验证,然后我们得出:中国剩余定理在密码学中具有广泛的应用。通过利用中国剩余定理的特性,我们可以有效地提高加密和解密的效率,加快数字签名的生成和验证,确保神秘共享方案的安全性和完整性。通过选择合适的解决方案,处理异常情况,并遵循密钥管理和安全协议等最佳实践,我们可以充分发挥中国剩余定理在密码学中的优势,构建更为安全可靠的密码学系统,为信息安全提供有效保障。
2024-06-29 16:43:41
1527
1
原创 CTF竞赛题
试一般的栅栏密码,取5为矩阵行数,得到" cyperrocaegireeol} eahfocec gnbip不正确,取5为矩阵列数,得到" cebgccfe en eohplprgecrayoii aoreg”,也不正确,除了常规的栅栏密码,还有。所谓栅栏密码,就是把要加密的明文分成N个一组,然后把每组的第1个字连起来,形成一段无规律的话。(一般不超过30个,也就是一、两句话)1.攻防世界之混合编码:(base64解密、unicode解密、ASCII转字符脚本、传统base64解密、ASCII解密)
2024-06-29 16:42:01
600
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人