- 博客(15)
- 收藏
- 关注
RSS订阅原创 网络安全学习笔记(XXE)
XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害pikachu靶场的掩饰首先现在自己的电脑上新建一个txt文件 内容如下打开靶场的XXE漏洞存在xxe漏洞的话,就可以通过xml脚本来读取到本地的文件,反过来说 只要能够用xml脚本来读取到本地文件,就代表着这里存在xxe漏洞,实验一下]>
2024-11-23 17:09:43
847
原创 网络安全学习笔记(文件包含与脚本语言伪协议)
仅是个人的学习笔记记录,不得转载和供他人学习##未经授权和许可 不得去在别人的网站使用!!#请自觉遵守法!!脚本语言伪协议。
2024-11-16 11:13:39
837
原创 网络安全学习笔记(漏洞与waf绕过)
仅是个人的学习笔记记录,不得转载和供他人学习##未经授权和许可 不得去在别人的网站使用!!#请自觉遵守法!!相关漏洞。
2024-11-07 16:05:14
390
原创 网络安全学习笔记(文件上传靶场练习)
意思就是你先上传一个更改服务器配置的文件,让他将loudong.jpg或者是其他你命名的这个文件,当成php的文件去解析,这样一来即便上传的文件是.jpg格式的,但是他实际上是php文件,.jpg只不过是为了绕过前端限制做的障眼法。//去除字符串::$DATA。//去除字符串::$DATA。
2024-11-04 17:23:52
816
原创 网络安全学习笔记(php基础)
/这里和上面的strlen不同,strlen是计数,strpos是查询位数,前者会从1开始计算,后者则是从0开始计位,所以上述的hello world,返回会是6*/echo $a[0],"",$a[1],"",$a[2],"";foreach ($a as $value){//value是变量,可以随便定义 定义成$b,$c都可以。
2024-10-17 16:56:26
954
原创 网络安全学习笔记(网络原理基础)
这样一来,发包的192.168.1.0的主机就会接收到目标发送的MAC地址,并将地址记录在ARP表中,后续需要连接的话就不用再次发包了,可以通过CMD命令arp -a来查看本机目前所存储的相关ARP表的信息。方便理解的话,可以好比一个水龙头,UDP的方式就是直接开水龙头放水,你去接,量大,但是过程中会有水滴溅出去,TCP则是你拿一个小水管接到水龙头上,水通过水管流给你,效率低了点,但是安全可靠,不会有水流出去。提供不可靠、无连接的传输服务。1.TCP是面向连接的,可靠的,UDP则是无连接,不可靠的。
2024-09-24 11:10:28
439
原创 网络安全学习笔记(网络原理基础)
应用层 ——应用软件服务,好比一家公司能够提供的服务(咨询,测试,开发需求)表示层 ——接到应用层传来的服务内容,对服务内容进行对应格式的转化,加密会话层 ——与另外一家要求服务的公司针对上面传达的服务,建立会话连接,保证后续的交流沟通正常传输层 ——将准备好的数据内容打包传输。
2024-09-21 09:46:35
428
原创 网络安全学习笔记(网安基本概念)
很多人使用的密码都会是简单组合,比如什么QWE123,什么password,这种弱密码会被记录到某些字典当中,只要获取到了用户的账号,就能够通过字典来进行爆破,怎么爆破,简单来说就是输入账号,然后将字典中所记录的密码一个一个试过去,直到输对为止。这个时候就很有可能会收到钓鱼邮件,具体可能是黑客伪装成了邮箱管理员发送一封提示你邮箱存在问题,需要马上修改密码,顺带邮件里面带上了一个链接或是一个附件,让你点击链接或者附件来修改密码,只要一点,就中招。银行卡密码发我一下?务必要遵守网络安全法!
2024-09-10 10:08:19
457
原创 关于如何配置ruby以及watir环境个人笔记
PS每次进行浏览器的打开前都要输入browser = Watir::Browser.new :chrome来调用(或者说关掉浏览器的话,再开浏览器需要这样调用,需要留意优化方法)(经过几次尝试,上述这个镜源在ruby2.5版本及以下无法正常替换【也有可能是因为我ruby2.5安装是通过那个整合的安装包,而不是通过ruby安装包,具体原因未得到解决】)经测试,不需要一定要写ie,可以换成browser即浏览器(这样换是因为我上面用的就是谷歌,不是ie,browser能够正常调用)
2024-05-15 14:28:48
830
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人