dreamBig
关注
分享
扫一扫
hu4wufu
心有惊雷,生似静湖
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
比较好的一些博客、站点
干货集中营-算命縖子原创 2020-05-28 18:00:51 · 348 阅读 · 0 评论 -
我的安全观
1、根据语言、中间件、服务器、的特性绕过这些特性找到漏洞原创 2020-05-11 02:12:07 · 677 阅读 · 0 评论 -
知识总结---根据功能点挖掘漏洞思路
用户的注册sql注入、xss漏洞、逻辑漏洞、头像处getshell等等用户功能点是最常见的一些逻辑漏洞(任意密码重置这类)、SQL注入、存储型xss漏洞、后台头像getshell、订单遍历等等有无逻辑漏洞(1元购)和订单遍历(修改ID获取其他用户的信息)...原创 2020-05-06 00:34:44 · 386 阅读 · 0 评论 -
知识总结---漏洞原理及防护篇
XSSXSS原理反射型用户提交的数据中可以构造代码来执行,从而实现窃取用户信息等攻击。需要诱使用户“点击”一个恶意链接,才能攻击成功储存型存储型XSS会把用户输入的数据“存储”在服务器端。这种XSS具有很强的稳定性。DOM型通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS。DOM型和反射型的区别反射型XSS:通过诱导用户点击,我们构造好的恶...原创 2020-05-06 00:34:19 · 1874 阅读 · 0 评论 -
知识总结点---计算机网络与流量分析篇
TCP的三次握手和四次挥手和UDP协议HTTP协议原创 2020-05-03 00:07:18 · 725 阅读 · 0 评论 -
知识总结---数据库篇
docker里边安装redisRedis和MySQL的区别与使用(redis做mysql的缓存并且数据同步)Redis基于内存,读写速度快,也可做持久化,MySQL基于磁盘,读写速度没有Redis快,但是不受空间容量限制,性价比高。大多数的应用场景是MySQL(主)+Redis(辅)。mysql做主存储,Redis用于缓存...原创 2020-05-02 20:41:46 · 287 阅读 · 0 评论 -
知识总结点---渗透测试篇
漏洞发现漏洞利用绕过验证码有哪些思路1.爆破2.前端校验3.生成的验证码会在请求包,前端生成性, 写出对应算法即可4.万能验证码 000000 888888 88888885.删除验证码字段6.不刷新7.验证码可识别漏洞修复如果网站评论区的复选框存在xss,怎么修复xss修复从3个角度1)httponly cookie2)输入检查 参数...原创 2020-04-28 20:13:20 · 303 阅读 · 0 评论 -
总结知识点---Java代码审计篇
持续更新问题及答案问:说下平时怎么做代码安全审计的,具体思路?问:会用静态代码安全审计工具吗?知道这些工具的原理是什么吗?答:Cobra:定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者漏洞。AST树和token流问:你做代码审计有没有找过比较经典的漏洞条件竞争漏洞问:有没有接触过php的代码审计,php的文件包含漏洞是什么。文件包含漏洞的形成原因...原创 2020-04-21 09:25:04 · 3736 阅读 · 0 评论