- 博客(16)
- 收藏
- 关注
RSS订阅原创 XXE的学习记录以及ctfshow_XXE模块练习
XXE(XML External Entity)即XML外部实体攻击。DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。1,内部声明: ex:> <!!!!!!> <
2023-05-24 10:06:18
660
原创 node.js的学习以及ctfshow_node.js模块的练习
Node.js是JavaScript语言的服务器运行环境个人理解就是可以将 javascript 作为后端语言运行的一个环境服务器 – 后端浏览器 – 前端。
2023-05-04 20:55:18
343
1
原创 ctfshow web系列
源代码要求v1为为字母,v2为数字,并且v1与v2的md5值相同md5漏洞介绍:PHP在处理字符串时,它把每一个以“0E”开头的哈希值都解释为0所以只要v1与v2的md5值以0E开头即可。常见的0e开头的MD5和原值QNKCDZO240610708。
2023-04-07 20:10:36
1107
原创 XSS的相关学习以及相关靶场的练习
XSS(Cross Site Script)攻击,作为一种HTML注入攻击,XSS攻击的核心思想就是在HTML页面中注入恶意代码,而XSS采用的注入方式是非常巧妙的。在XSS攻击中,一般有三个角色参与:攻击者、目标服务器、受害者的浏览器。 由于有的服务器并没有对用户的输入进行安全方面的验证,攻击者就可以很容易地通过正常的输入手段,夹带进一些恶意的HTML脚本代码。当受害者的浏览器访 问目标服务器上被注入恶意脚本的页面后,由于它对目标服务器的信任,这段恶意脚本的执行不会受到什么阻碍。
2023-03-30 20:05:27
286
原创 文件包含漏洞详解与ctfshow文件包含漏洞模块的练习
服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。
2023-03-25 19:03:27
550
原创 反序列化的学习以及ctfsow_反序列化模块的练习
1.序列化:把对象转换为字节序列的过程,即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件,在网络传输过程中,可以是字节或是XML等格式。2.反序列化:把字节序列恢复为对象的过程,即把可以存储或传输的数据转换为对象的过程。例如将二进制数据流或文件加载到内存中还原为对象。 对象序列化成的字节序列会包含对象的类型信息、对象的数据等,说白了就是包含了描述这个对象的所有信息,能根据这些信息“复刻”出一个和原来一模一样的对象。
2023-03-16 20:41:27
538
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人