- 博客(22)
- 收藏
- 关注
RSS订阅转载 每周积累|token令牌
一.什么是Token?Token,就是令牌,最大的特点就是随机性,Token是服务端生成的一串字符串,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。用来验证用户的身份二.Token的作用1.防止提交重复表单2.提供了身份验证的功能(也可以用来防止CSRF)三.防止C...
2019-05-19 22:28:00
424
转载 每周积累|ARP欺骗攻击
1.ARP协议是什么地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。2.ARP欺骗原理ARP欺骗的核心思想就是向目标主机发送伪造的 应 ARP答,并使目标主机接收应答中伪造的IP地址与MAC地址之间的映射对,以此更新目标主机ARP缓存。3.实验环境:攻击者主机:192.168.1.10...
2019-05-12 19:23:00
324
转载 每周积累|二次注入实验
近期看了一篇关于二次注入的文章,接下来实验一下。1、什么是二次注入?二次注入漏洞是一种在Web应用程序中广泛存在的安全漏洞形式。相对于一次注入漏洞而言,二次注入漏洞更难以被发现,但是它却具有与一次注入攻击漏洞相同的攻击威力。个人理解的二次注入就是不正常数据虽然被转义处理后保存到数据库,但数据中保留的还是未被转义前的数据,然后再被取出、拼凑后形成的sql语句。2.二次注入的...
2019-05-06 10:16:00
189
转载 每周积累|host头注入
本周看了一些host头注入的文章,现在来实际实验一下。1.对比常见的Get、Post注入,http头注入比较少见,可能的注入点大多是下面三类:Host:[host];User-Agent:Cookie:host注入和平时进行的手工注入是一样的,只不过位置是在Host头处。基本命令也是一样的,本次实验就当对之前学习的手工注入进行复习了。2.实验环境:墨者学院在线...
2019-04-21 19:26:00
1140
转载 每周积累|华三交换机划分VLAN,配置web界面
一:配置web页面:1.添加IP地址并配置web界面:添加IP地址:首先进入接口视图界面,interface GigabitEthernet1/0/3,输入命令 ip address xxx.xxx.xxx.xxx 255.255.255.02.添加用户,local user admin; authorization-attribute user-role ...
2019-04-14 19:47:00
7909
转载 PHP执行命令函数
目标:简单的学习几个PHP中执行命令函数。1、exec() 函数参考地址:https://www.php.net/manual/zh/function.exec.php(PHP 4, PHP 5, PHP 7)exec—执行一个外部程序格式:exec(string$command[,array&$output[,int&am...
2019-04-07 21:29:00
1183
转载 linux下配置apache使用https
1.实验环境:Centos2.https和http协议相比是比较安全的一种方式,https采用的是SSL协议,在传输过程中是加密传输的3.配置apache使用ssl协议,还是比较简单的,可以使用两种方式来实现,在这里还需要知道几个名词 私钥、公钥和证书。4.安装apache服务: 使用yum install httpd 直接安装就可以了5.方式一:安装mod_...
2019-03-31 20:00:00
377
转载 linux下部署php页面
1.操作系统:Centos 72.实验环境:Apache PHP3.实验步骤: 1>.安装Apache 命令:yum intsall httpd 2>.查看服务状态:service httpd sytatus 重启、启动、停止命令: service httpd restart\service httpd start\service httpd s...
2019-03-24 23:48:00
286
转载 iptables基本使用
iptables是linux系统下的一款防火墙管理工具,也包含大量的参数,不过对于日常的防火墙策略来讲,只需要掌握常用的参数就可以了。首先查看是否安装了iptables,没有安装的话需要先安装iptables:service iptables statusyum install -y iptablesyum install iptables -y -services...
2019-03-18 17:58:00
94
转载 密码学学习笔记
1.密码学是一门非常值得人去深究的一门技术科学,所以先简单的了解一下基础。2.什么是密码学? 定义:密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学; 应用于破译密码以获取通信情报的,称为破译学,总称密码学。(个人理解的密码学就是加密和解密交互的一种技术)3.密码学的发展过程: 首先是古典密码——...
2019-03-10 12:24:00
355
转载 使用Sqli-Labs学习SQL注入
SQL注入持续学习中:1.SQL是什么?a>.SQL是指一种结构化查询语言b>.SQL可以帮助我们管理和访问数据库,常见的数据有Mysql、Oracle、Mmsql等。2.SQL注入的原理是将SQL代码插入或添加到用户输入的参数中,后台的SQL服务器将输入的参数加以分析并执行。这也是SQL注入的主要攻击方式。3.本次实验环境:PHP+Apace...
2019-02-15 17:04:00
191
转载 文件上传
实验环境:dvwaLOW:这个级别对文件没有做任何的限制,所以可以直接上传xxx.php文件,并取得路径。接下来,上传个一句话木马试试:可以配合菜刀使用一句话木马小马格式:PHP: <?php @eval( $_POST['cmd']);?>直接上传hack.php文件。内容如下:<?php phpinfo();?>M...
2019-01-25 18:01:00
127
转载 整理一下http协议
本周重新看了一遍http协议,然后稍微做一个整理吧。先来看一下什么是http协议;HTTP( HyperText Transfer Protocol)为超文本传输协议,它规定浏览器和服务器之前通信的一种规则。那么http请求是怎么发送的呢?当在浏览器输入www.baidu.com然后回车,这样就向服务器发送了一个http请求,接着服务器就会返回我们一个页面。也可以说h...
2019-01-20 19:06:00
119
转载 sql注入基础
还是以dvwa学习手工sql注入sql注入原理,个人理解意思的就是应用没有把用户输入的数据进行过滤处理,数据被当成sql语句进行执行了。low级别:直接查看代码,发现参数$id并没有经过任何处理,所以是一个明显的注入点。在真实环境中是看不到代码的,所以需要一点点的去猜测破解。首先输入1,显示出了数据,输入1 ',提示有错误,接着输入1’or ‘1...
2019-01-13 21:04:00
104
转载 xss攻击小结
上周初步学习了xss的类型、攻击方法原理和防御措施,并对其做了个简单的总结。那么这周就以dvwa来总结一下简单的xss攻击。low级别:查看源代码可以看到,并没有对参数做任何的处理过滤,所以直接输入带有xss攻击的代码就可以弹窗,比如<script>alert(1)</script>:Medium级别:...
2019-01-06 22:18:00
311
转载 初识xss
这周学习了xss攻击,也叫做跨站脚本攻击:找了个练习平台:http://xss-quiz.int21h.jp/第一级别:可以看到要求是弹出域名,先输入<script>alert(document.domain)</script>试试,可以看到直接弹出域名,代码中并没有添加任何过滤条件。第二级别:我们输入的<script>...
2018-12-31 00:15:00
112
转载 初使用sqlmap对dvwa进行sql注入
1.下载安装dvwa,可以去此处下载:http://www.dvwa.co.uk/2.需要安装python运行环境,我使用的是python2.7,python2.7-3.0之间的应该都可以。3.下载sqlmap包并将其解压4.直接cmd运行sqlmap,输入sqlmap.py -h查看帮助信息我在运行sqlmap的时候遇到了这么一个问题,就是输入sqlmap.py -[o...
2018-12-21 17:27:00
901
转载 php连接数据库
php连接MYSQL可以使用一下两种方式:1.MySQLi2.PDO今天主要学习使用MYSQLi方式链接数据库,在我们安装php mysql的时候,MYSQLI大多数情况下都是自动安装的。我们可以通过phpinfo()查看是否安装成功:进入phpinfo()页面后,我们可以直接ctrl+f搜索一下mysqli,此时可以看到mysqli的详细信息。接下来,我们...
2018-12-17 09:36:00
118
转载 linux压缩与解压缩命令
linux中常用的五个压缩格式:.zip .gz .tar.gz .bz2 .tar.bz21> .zip格式压缩: zip 压缩文件名 源文件名 #压缩文件 zip -r 压缩文件名 源目录 #压缩目录我们在家目录创建一个test文件,那么压缩命令就是:zip test.zip test .zip格式解压缩: uzip 压缩文件...
2018-12-09 19:15:00
115
转载 两个linux shell小技巧,助你提高敲命令效率!
技巧一.sudo! 1.在linux命令行敲命令时,你是不是也碰到过这种情况:敲了一长串命令,潇洒的一回车,结果发现Permission denied。当你意识到需要在行首加一个sudo,用root用户执行该命令,这时你会怎么做?通常的做法可能是这样的:1.按↑重新显示之前的命令2.fn +←j将光标定位到行首3.敲个sudo,然后回车。真的需要这么麻...
2018-11-30 18:00:00
183
转载 linux系统常用命令大全
最近在学习linux系统,感觉还不错。我觉得Linux相比windows比较麻烦的就是很多东西都要用命令来控制,然后我将自己所了解的命令列举出来,仅供参考:系统信息arch 显示机器的处理器架构(1)uname -m 显示机器的处理器架构(2)uname -r 显示正在使用的内核版本dmidecode -q 显示硬件系统部件 - (SMBIOS / DMI)hdparm -...
2018-11-23 13:51:00
114
转载 HTML 的段落
HTML段落可以把 HTML 文档分割为若干段落。并且,段落是通过 <p> 标签定义的。例如:<p>这是一个段落</p><p>这是一个段落2</p>运行如图:tips:如果忘记写结束标签,大多数浏览器依旧能解析出来。Html也具有折行的功能。如果希望在不产生一个新段落的情况下进行换行(新行...
2018-11-04 16:26:00
172
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人