- 博客(17)
- 收藏
- 关注
RSS订阅原创 RCE漏洞
RCE漏洞的核心在于用户输入可控且未过滤。防御需结合输入验证、函数管控及环境加固。实战中需关注框架/CMS的已知漏洞(如Webmin CVE-2019-15107),并及时更新补丁。注:实验环境搭建推荐使用Vulhub或本地靶场(如DVWA),所有操作应在授权范围内进行。
2025-03-15 14:49:16
736
原创 文件包含与下载漏洞
文件包含与下载漏洞的核心在于动态变量可控和路径过滤不足。防御需结合输入验证、配置加固及安全编码实践。实战中需关注协议特性(如`00截断``伪协议`)及绕过技巧。注:实验环境搭建推荐使用Vulhub或本地靶场(如DVWA、Pikachu),所有操作应在授权范围内进行。
2025-03-15 14:12:33
976
原创 文件上传漏洞详解
文件上传漏洞的本质是服务端校验不足,需结合输入过滤、输出编码和权限控制综合防御。实战中需关注协议特性(如HTTP头注入)、服务器解析逻辑差异(如IIS/Apache/Nginx行为不一致)及编码绕过技巧(如%00截断、双重编码)。注:具体操作需在合法授权的实验环境中进行,切勿非法测试。
2025-03-09 18:48:17
569
原创 XXE漏洞
XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。注意:XXE 漏洞利用需在合法授权范围内测试,否则可能违反法律!
2025-03-09 18:01:28
797
原创 CSRF&SSRF漏洞
CSRF(Cross-site request forgery)简称:跨站请求伪造,存在巨大的危害性。在 CSRF 的 攻击场景中,攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点 击,用户一旦点击了这个请求,整个攻击就完成了,所以 CSRF 攻击也称为 one-click attack。
2025-03-09 16:57:52
542
原创 XSS 漏洞
跨站脚本攻击(XSS, Cross Site Scripting)是一种常见的Web安全漏洞。攻击者通过在Web页面插入恶意脚本,当用户浏览该页面时,脚本被执行,从而达到窃取用户数据、篡改页面内容等攻击目的。
2025-03-07 16:13:28
350
原创 SQL注入漏洞
SQL 注入是一种常见的网络安全漏洞和攻击方式,它利用应用程序对用户输入数据的处理不 当,使得攻击者能够在执行 SQL 查询时插入恶意的 SQL 代码。通过成功注入恶意代码,攻击者可以执行未经授权的数据库操作,获取敏感信息、篡改数据甚至完全破坏数据库。
2025-03-07 07:07:45
812
原创 弱口令与命令爆破技术笔记
弱口令防护:强制复杂密码、定期更换、禁用默认账号。防御爆破:启用验证码、限制登录尝试次数、使用多因素认证(MFA)。工具选择:Burp Suite:适合Web应用渗透测试。Hydra:支持多协议、命令行高效爆破。ARCHPR/PassFab:专注文件密码恢复。注意:所有操作需在授权范围内进行,禁止非法渗透!
2025-02-15 09:50:21
812
原创 MySQL数据库笔记
外键级联操作:主表数据更新/删除时,自动同步子表数据。多对一:通过外键实现,例如订单表关联用户表。内连接(INNER JOIN)左外连接(LEFT JOIN)右外连接(RIGHT JOIN)
2025-02-07 17:24:10
1018
原创 web后端基础 ———Python
全面的开发支持:PyCharm 为 Python 开发提供了全面的支持,包括语法高亮、代码自动完成、代码检查、重构、调试、单元测试、版本控制集成等功能。智能代码编辑器:PyCharm 拥有智能代码编辑器,支持多种编程语言的代码高亮和自动补全,包括 Python、JavaScript、CoffeeScript、TypeScript、CSS 等。它还提供了代码折叠、分割窗口等编辑功能,以及实时的错误高亮和快速修复建议。
2025-02-02 21:52:51
996
原创 web后端基础知识———PHP
PHP(全称:PHP:Hypertext Preprocessor,即"PHP:超文本预处理器")是一种通用开源脚本 语言,PHP 脚本在服务器上执行。(1)PHP 文件可包含文本、HTML、JavaScript代码和 PHP 代码;(2)PHP 代码在服务器上执行,结果以纯 HTML 形式返回给浏览器;(3)PHP 文件的默认文件扩展名是 .php。(1)PHP 可以生成动态页面内容;(2)PHP 可以创建、打开、读取、写入、关闭服务器上的文件;(4)PHP 可以发送和接收 cookies;(5)PHP
2025-02-02 12:30:44
977
原创 网安笔记之计算机网络基础知识
计算机网络是一组自治计算机互连的集合;一个完整的计算机网络系统主要由硬件、软件和协议三大部分组成,缺一不可。Wireshark 与 Tcpdump 是最常用的网络抓包和分析工具,两者在功能和使用场景 上有所区别,但经常搭配使用以发挥各自的优势。Wireshark 定义与背景: Wireshark 是一款开源抓包工具,也被称为网络嗅探器,用于分析网络流量和数 据包它以前的名字是 Ethereal,于 1998 年首次开发,直到 2006 年才改为 Wireshark。
2024-12-26 23:00:59
845
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人