- 博客(96)
- 收藏
- 关注
RSS订阅
原创 XSS 攻击(详细)
XSS,即跨站脚本攻击,是 Web 安全领域中十分常见的漏洞类型。攻击者通过在 Web 页面中注入恶意脚本,当用户浏览该页面时,恶意脚本便会在用户的浏览器中执行。借助这种攻击方式,攻击者能够窃取用户的敏感信息,如登录凭证、个人隐私数据等;劫持用户会话,以用户身份进行各种操作;甚至篡改网站内容,严重损害网站的声誉和用户信任。举例来说,某电商网站若存在 XSS 漏洞,攻击者可通过注入恶意脚本,窃取用户的账号密码,进而盗刷用户的账户资金,给用户带来直接的经济损失。
2025-03-31 23:59:21
785
2
原创 《白帽子讲 Web 安全》注入攻击知识深度剖析(万字详细版)
SQL 注入指攻击者将恶意 SQL 语句插入到应用程序的输入参数中,致使应用程序在与数据库交互时执行非预期的 SQL 命令。借助这种手段,攻击者能够获取、修改或删除数据库中的数据,甚至实现对数据库服务器的控制,严重危及数据安全。
2025-03-31 23:57:31
518
原创 《白帽子讲 Web 安全》之服务端安全配置全解析
然而,对外展示时,则应屏蔽详细的错误信息,仅返回通用的错误提示,如 “服务器内部错误,请稍后重试”。然而,其安全问题多源于模块。例如,在为一个电商应用配置数据库访问账号时,仅授予该账号对电商相关数据库表的查询、插入、更新权限,而不给予其对整个数据库的管理权限。比如,修改默认的访问端口,设置强密码策略,限制可访问的 IP 地址,及时更新软件版本以修复已知漏洞等。若确实需要对外提供服务,务必在前端部署严格的防火墙策略,限制可访问的 IP 地址范围,并及时更新 Weblogic 版本,修复已知安全漏洞。
2025-03-23 06:00:00
691
5
原创 Vue.js 模板语法全解析:从基础到实战应用
全局自定义指令可以在整个 Vue 应用中使用。在main.ts文件中,通过app.directive('指令名', { /* 指令定义对象 */ })来注册。// main.tsel.innerHTML = '全局注册自定义指令';});当页面渲染到这个<p>元素时,其内容会被替换为 “全局注册自定义指令”。全局自定义指令常用于一些通用的 DOM 操作场景,比如添加特定的样式、行为等,且在多个组件中都可能用到的情况。局部自定义指令是在组件内部通过directives。
2025-03-22 21:24:10
798
6
原创 《白帽子讲 Web 安全》之开发语言安全深度解读
尤其在运行不可信代码时,启用 Security Manager 显得尤为重要。启用方式有两种,一种是通过。
2025-03-21 22:03:41
1661
原创 深入解读《白帽子讲 Web 安全》之业务逻辑安全
在 Web 安全的广袤领域中,业务逻辑安全犹如一座隐藏在平静湖面下的冰山,看似不起眼,实则蕴含着巨大的风险。接下来,让我们一同深入探索这一重要的安全领域。而如今,多数应用采用手机号或邮箱登录,结合可自定义的展示昵称,这无疑给攻击者的破解之路设置了更多障碍。传统 Web 应用以公开的用户名作为账号标识,这就好比在自家门口挂了个写着 “贵重物品在此” 的牌子,方便了攻击者锁定目标进行密码破解。比如在公共 WiFi 环境下,会话 ID 可能被黑客截取,即使自动退出,黑客也可能利用已获取的会话 ID 重新登录。
2025-03-21 21:42:41
907
6
原创 Vue.js 的计算属性和侦听器:提升数据处理与交互的关键工具
计算属性是 Vue.js 赋予开发者基于响应式依赖进行复杂计算的有力工具。它能缓存计算结果,仅当相关依赖发生变化时才重新计算。这一特性使得在处理频繁使用且计算成本较高的数据时,性能得到显著提升。在 Vue 实例的computed选项中定义计算属性函数。以一个电商场景为例,假设有一个商品列表,每个商品对象包含price(价格)和quantity(数量)属性,需要计算商品总价。首先在 Vue 组件的datadata() {return {然后在computed选项中定义计算商品总价的计算属性});
2025-03-20 22:01:21
1198
17
原创 Vue.js 项目部署全解析:从开发到上线的关键旅程题
Vite 堪称前端开发领域的革新性构建工具,由Vue.js 的核心开发者尤雨溪倾力打造,伴随 Vue 3 的问世而崭露头角。它摒弃了传统打包工具复杂的预编译流程,引入unbundle思想,巧妙借助浏览器对原生 ES 模块的支持。在开发过程中,无需将所有模块打包成一个或多个大型文件,而是直接利用浏览器的原生能力加载模块,这使得开发服务器的启动速度大幅提升,热更新(HMR)更是快如闪电。不仅如此,Vite 具备出色的跨框架兼容性,无论是 Vue、React 还是 Svelte 项目,都能在其加持下实现高效开发。
2025-03-15 19:05:55
835
2
原创 Vue.js 中 class 和 style 绑定的全面解析
在. vue文件的模板 HTML 标签中,借助能够轻松实现动态操作 DOM 元素的class属性。对象语法和数组语法。对象语法:通过传入一个对象,对象的属性名即为要应用的class名,属性值是布尔值。当属性值为true时,对应的class会添加到 DOM 元素上;若为false,则该class不会被添加。这种方式非常适合根据数据状态来动态决定是否添加某个class。它的优势在于逻辑清晰,易于理解和维护。例如,在一个导航菜单组件中,需要根据当前页面的路由信息来标记哪个菜单项处于激活状态。
2025-03-15 18:48:57
650
原创 《黑客攻防从入门到精通:工具篇》全15章万字深度总结——从工具解析到实战攻防,构建完整网络安全知识体系
本书通过15章系统化教学,不仅传授工具使用,更强调攻防思维的平衡:《黑客攻防从入门到精通:工具篇》的价值不仅在于工具使用教学,更在于引导读者理解攻防对抗的本质——安全是持续的过程,而非静态的结果。通过系统化工具链的掌握与伦理意识的培养,读者将能够站在防御者的高度,构建主动、动态、纵深的网络安全体系。注:文章对书中的内容还没有详细描述,主要是书中讲解的一些工具在目前来说已经过时或者无法安全下载,所以文章中给出的一些工具都是目前常用的工具。喜欢就点点关注和评论一起进步。
2025-03-12 19:05:32
2095
11
原创 深度剖析《白帽子讲 Web 安全》之 API 安全
随着移动互联网的普及,各类移动端应用如雨后春笋般涌现。这些应用为了实现丰富的功能,需要与后端服务器进行频繁的数据交互,而 API 正是实现这种交互的关键手段。例如,在一款热门的外卖应用中,用户下单、查询订单状态、获取商家信息等操作,都依赖于 API 与后端服务器进行数据传输。通过 API,前端应用能够便捷地获取所需数据,并将用户的操作指令传递给后端进行处理,极大地提升了用户体验。与此同时,IoT 设备的兴起进一步拓展了 API 的应用边界。
2025-03-12 18:59:18
1070
7
原创 《白帽子讲Web 安全》之密码算法与随机数(万字详细版,一文学会)
Web 安全中密码学相关知识广泛而复杂,虽然无法涵盖所有问题,但对于开发者和安全从业者来说,掌握加密算法的正确选择和使用、有效的密钥管理以及生成强壮的随机数等技能至关重要。同时,要意识到应用程序使用默认密钥或密码的安全风险,积极采取措施进行防范。此外,深入了解 HTTPS 相关概念、SSL/TLS 的发展历史以及其中的密码学算法和攻防手段,并通过实际试验和学习,不断提升在 Web 安全领域的实践能力和应对风险的能力,才能更好地保障 Web 应用的安全,保护用户的信息安全和隐私。
2025-03-08 22:57:03
933
14
原创 《白帽子讲 Web 安全》之身份认证
在 Web 应用的安全体系里,“认证” 和 “授权” 是两个截然不同却又紧密关联的概念。认证,其核心作用在于识别用户究竟是谁,就好比在一个大型派对门口,保安通过查看邀请函或者证件来确认每一位来宾的身份。而授权,则是决定用户能做什么,比如在派对中,有些区域只有 VIP 嘉宾才能进入,这就是授权在发挥作用。身份认证作为 Web 应用的基本安全功能,是保障用户数据和应用功能安全的第一道防线。
2025-03-08 00:07:11
1042
10
原创 Manus:AI 新纪元的破局者,是神话还是现实?
在人工智能以近乎狂飙突进之势飞速演进的时代光谱下,技术突破所绽放出的强光犹如划破夜空的闪电,持续不断地闪耀,全方位重塑着人类与数字世界交互的边界。当此前大热的 DeepSeek 的热度还在科技舆论场的边缘若隐若现、尚未完全褪去之时,一款名为 Manus 的新型 AI 宛如一颗璀璨的超新星,于 2025 年 3 月 6 日毫无征兆地横空出世。
2025-03-07 20:14:57
538
原创 《白帽子讲 Web 安全》之文件操作安全
1.1前端校验的脆弱性与服务端脚本执行危机文件操作是 Web 应用中不可或缺的功能模块,但同时也是攻击者眼中的高价值目标。从文件上传、下载到文件包含、路径穿越,每一步都潜藏着巨大的安全风险。攻击者可以通过构造恶意文件、利用服务器的解析漏洞等方式,实现对服务器的控制或窃取敏感信息。作为开发者和安全人员,我们需要高度重视文件操作的安全问题,采取严格的防御措施,如文件类型检查、路径验证、内容扫描等,确保文件操作的安全性。同时,也需要不断学习新的安全技术和防护策略,以应对日益复杂的网络安全威胁通过。
2025-03-03 22:37:56
2595
31
原创 《白帽子讲 Web 安全》之深入同源策略(万字详解)
同源策略是由 Netscape 提出的一个著名的安全策略,现在所有支持 JavaScript 的浏览器都会使用这个策略。所谓同源,要求域名、协议、端口都相同。例如,当浏览器的一个 tab 页打开百度页面执行脚本时,会检查脚本所属页面是否同源,只有同源脚本才会被执行。若脚本来源非同源,在请求数据时,浏览器会在控制台报异常,拒绝访问。这就像是一个社区,只有本社区(同源)的成员才能自由进出各个设施(执行脚本、访问数据等),外来人员(非同源)则被拒之门外。具体例子:假如我们在浏览器中打开了。
2025-03-03 14:39:47
2473
12
原创 《白帽子讲 Web 安全》之移动 Web 安全
在移动互联网飞速发展的当下,移动 Web 安全的重要性愈发凸显。《白帽子讲 Web 安全》对移动 Web 安全进行了详细阐述,为我们揭开了这一领域的神秘面纱。WebView 是移动端(如 Android、iOS)用于嵌入网页的核心,显示网页内容的组件允许开发者在原生应用中嵌入网页,实现混合应用开发,,允许应用内直接加载 Web 内容。其本质是一个轻量级浏览器,但默认安全配置较弱,容易成为攻击入口。
2025-03-02 15:06:09
899
4
原创 《白帽子讲 Web 安全:点击劫持》
点击劫持,英文名为 Clickjacking,也被称为 UI - 覆盖攻击。它首次出现在 2008 年,由互联网安全专家罗伯特・汉森和耶利米・格劳斯曼首创。点击劫持(Clickjacking)是一种视觉上的欺骗手段,攻击者通过透明的 iframe 或其他隐藏元素通过覆盖不可见的框架来诱使用户在不知情的情况下执行某些操作。表面上受害者点击的是他们所看到的网页,但实际上点击的是被黑客精心构建的另一个置于原网页上面的透明页面。
2025-03-02 15:06:04
1170
3
原创 《白帽子讲Web安全》爬虫对抗:技术演进与攻防博弈
边界控制:通过IP信誉、速率限制拦截低级攻击。纵深防御:结合行为分析、动态验证码应对复杂爬虫。数据保护:加密关键数据、设计防爬接口,从源头降低泄露风险。安全是一场持续的攻防博弈,企业需在业务便利与安全防护间寻找平衡,而《白帽子讲Web安全》为这一领域提供了兼具理论深度与实践价值的参考框架。更多技术细节与案例分析可参考原书。
2025-02-25 22:23:49
967
4
原创 《白帽子讲Web安全》学习:深入解析Cookie与会话安全
指定了 Cookie 可以被哪些域名访问。只有当浏览器请求的域名与 Cookie 的 Domain 属性匹配时,浏览器才会在请求中包含该 Cookie。
2025-02-25 22:21:43
1074
3
原创 第十二届蓝桥杯省赛软件类(c&c++组)
解题思路答案第二题(卡片) 解题思路答案 第三题(直线) 解题思路 答案 解析:这题的理解并不难,就是用三重循环暴力找出方案的总类,但是如果直接暴力,因为n十分大,所以直接暴力空间复杂度和时间复杂度是不太能行的,所以换种方法,先找出n的所有因数,再枚举因数的组合:题解 结果题目:解析:要求1到2021之间的最短路径,这是典型的最短路径问题,可以以采用Dijkstra算法来计算两点之间的最短路径问题。Dijkstra算法是一种用于计算带权有向图或无向图中单个源
2025-04-01 23:40:09
205
1
原创 一文详细讲解Python(详细版一篇学会Python基础和网络安全)
1.1 Python 语言简介发展历史:Python 由吉多・范罗苏姆在 20 世纪 80 年代末开始开发,于 1991 年发布首个公开发行版。此后,Python 社区不断对其进行更新和完善,新的版本添加了更多的功能和优化,使其能更好地适应不同的应用场景。特点语法简洁易读:Python 采用简洁的语法结构,代码风格清晰,降低了编程的难度,新手也能快速上手。例如,实现一个简单的打印功能,只需一行代码")。动态类型系统:在 Python 中,变量无需提前声明类型,在赋值时会自动确定类型。比如a = 10。
2025-04-01 23:38:29
303
原创 《白帽子讲 Web 安全》之代理和 CDN 安全
网络安全从业者需持续学习研究,加强对代理服务器的安全配置与管理,严格校验请求和响应信息,及时更新软件版本修复漏洞,以应对不断变化的网络安全挑战,保障 Web 应用安全稳定运行。然而,网络中存在一些匿名正向代理,它们可能被攻击者利用,隐藏攻击者的真实 IP 地址,进而实施恶意行为,如发起 DDoS 攻击、进行网络爬虫窃取数据等,给网络安全带来隐患。,网络攻击检测面临更大挑战,安全检测设备难以直接解析加密后的 SNI 信息,识别请求真实目标域名难度加大,给网络安全防护带来新难题。反向代理具备多种实用功能。
2025-03-29 06:00:00
578
3
原创 《白帽子讲 Web 安全》之跨站请求伪造
CSRF,即的缩写,是一种常见且隐蔽的Web 攻击手段。攻击者精心设计诱导策略,使已登录目标网站的用户访问恶意网站,进而利用用户在目标网站的身份权限,在用户毫不知情的情况下,在目标网站执行非用户本意的操作。这一过程中,攻击者无需获取用户的登录凭证,仅借助浏览器的特性就可达成攻击目的。跨站请求伪造(CSRF)是一个复杂且不断演变的 Web 安全问题。无论是开发者、安全研究人员还是普通用户,都需要持续关注其发展动态。
2025-03-28 21:29:32
870
原创 《白帽子讲 Web 安全》之服务端请求伪造(SSRF)深度剖析:从攻击到防御
服务端请求伪造(Server Side Request Forgery,SSRF)本质上是一种严重的 Web 应用漏洞。攻击者通过精心构造特定的参数值,诱使 Web 应用将外部输入参数当作 URL 来处理,进而驱使服务端去访问那些服务器程序原本预期之外的 URL。这些输入参数形式多样,既可以是不完整的 URL,也能是单纯的域名、IP 地址或者端口值等。
2025-03-28 21:27:49
915
原创 2023年团体程序设计天梯赛总决赛练习
什么是机器学习?面试官:9 + 10 等于多少?答:3面试官:差远了,是19。答:16面试官:错了,是19。答:18面试官:不,是19。答:19本题就请你模仿这个“机器学习程序”的行为。输入格式:输入在一行中给出两个整数,绝对值都不超过 100,中间用一个空格分开,分别表示面试官给出的两个数字 A 和 B。输出格式:要求你输出 4 行,每行一个数字。第 1 行比正确结果少 16,第 2 行少 3,第 3 行少 1,最后一行才输出 A+B 的正确结果。
2025-03-28 21:25:44
895
原创 深入理解《白帽子讲 Web 安全》之访问控制
概述:明确“认证”与“授权”的区别,指出访问控制是在用户身份确认后,对其操作权限的管理,广泛应用于各类系统,如Linux系统通过访问控制列表决定主体对客体的操作权限。访问控制模型- 自主访问控制:用户可基于自身权限对客体进行访问控制,如文件所有者可决定其他主体的访问权限,但存在权限滥用风险。- 基于角色的访问控制(RBAC):根据角色分配权限,不同角色对应不同权限,适用于角色相对固定的场景,能简化权限管理。
2025-03-23 06:00:00
30
5
原创 Vue.js 表单开发
通过对 Vue.js 表单开发中 v - model 指令、表单基本用法、值绑定以及实战案例的详细学习,我们清晰地看到了 Vue.js 在处理表单相关功能时的便捷性与强大能力。从简单的文本输入到复杂的多选框、下拉选择框等多种表单元素的应用,Vue.js 都能轻松驾驭,通过双向绑定和简洁的指令系统,极大地简化了开发流程,提高了代码的可读性与可维护性。希望大家在今后的项目开发中,能够熟练运用这些知识,根据实际需求灵活构建各种表单,为用户带来更加流畅、高效的交互体验。
2025-03-22 06:00:00
837
6
原创 CSS知识总结与使用技巧 (万字详细版)
特性分类特性名称描述示例代码选择器属性选择器增强根据元素属性值的开头、结尾或包含的内容选择元素选择 href 属性以 "https" 开头的元素伪类选择器精确选择元素的子元素或特定类型的子元素选择父元素中第三个 li 元素盒模型弹性盒布局(Flexbox)灵活布局网页元素,适应不同屏幕尺寸和方向多列布局(Multi - column Layout)将文本内容分为多列显示背景和边框背景渐变(Background Gradients)创建线性和径向渐变背景。
2025-02-08 17:43:29
1028
2
原创 一文教你给电脑 C 盘扩容!
各位电脑使用者们,是不是常常遇到 C 盘空间不足的困扰?软件装多了,系统更新几次,C 盘那红色的容量条就开始刺眼地警示,电脑也跟着变得卡顿不堪。别慌,今天继续给大家分享超实用的电脑 C 盘扩容方法,这次用到电脑自带的磁盘管理功能,通过删除卷等操作来实现,还有详细步骤图文展示,包你一看就懂!
2025-02-05 14:22:00
424
原创 图的邻接矩阵和邻接表存储
邻接矩阵是表示顶点之间邻接关系的矩阵,图的邻接矩阵存储使用两个数组来 表示图,一个一维数组存储图中的顶点信息,一个二维数组存储图中的边的信息。//图的邻接矩阵表示int size;//图中结点个数//二维数组保存图//初始化图//num 图中结点个数 用邻接矩阵表示图//将数据读入图//graphMatrix 图//将图的结构显示int nodeno;//图中结点的编号//指向下一个结点的指针int size;//图中结点的个数//图的邻接表}GraphList;//初始化图。
2024-11-23 22:50:45
502
2
原创 os库的常见使用
os模块是Python标准库中的一个模块,提供了与操作系统进行交互的功能。通过os模块,你可以执行文件和目录操作、获取环境变量、执行系统命令等。
2024-11-20 21:18:59
413
9
原创 Cross-Site Scripting(XSS)攻击
XSS(跨站脚本攻击)是一种常见的 Web 安全漏洞,攻击者通过在目标网站的输入框中注入恶意脚本,当其他用户(如管理员)查看包含恶意脚本的页面时,脚本会在他们的浏览器中执行。:恶意脚本被存储在服务器的数据库或文件中,当其他用户访问包含恶意脚本的页面时,脚本会被执行。:恶意脚本通过 URL 参数或表单提交被反射回用户浏览器,当用户访问包含恶意脚本的页面时,脚本会被执行。:恶意脚本通过修改页面的 DOM 结构,注入恶意脚本,当页面加载时,恶意脚本会被执行。
2024-11-20 20:34:31
1741
3
原创 词云stylecloud库和标签云pytagcloud库的使用
生成词云图palette="cartocolors.qualitative.Bold_5", # 使用预定义的调色板background_color="black", # 黑色背景gradient="linear", # 线性渐变# 生成词云图font_path="path/to/your/font.ttf", # 自定义字体文件路径pytagcloud是一个用于生成标签云(Tag Cloud)的 Python 库。标签云是一种可视化文本数据的方式,其中词频较高的词会以较大的字体显示。
2024-11-19 22:34:38
423
3
原创 pikachu靶场之暴力破解
题目:分析:表单破解即不知道用户和密码,利用穷举尝试去爆破解决:(1)使用burpsuit抓包:将抓到的报文send to intruder(2)在intruder模块中设置配置position位置:选username和password的值(如(1)中的图)Attack Type:选Cluster bomb(因为有两个变量)Payload设置:由于position设置了两个,所以需要两个爆破的字典(3)设置完成后start attack即可。
2024-11-19 22:18:53
988
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人