- 博客(15)
- 收藏
- 关注
RSS订阅原创 CSRF漏洞详解
CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的网络攻击,它利用了用户在已登录的情况下,通过在受信任的网站上执行未经用户授权的操作。攻击者通过诱导受害者访问特定页面或点击恶意链接,使其在受害者已登录的情况下发送伪造的请求,以执行未经授权的操作,比如修改用户个人资料、发起转账等。CSRF与XSS听起来很像,但攻击方式完全不同。XSS攻击是利用受信任的站点攻击客户端用户,而CSRF是伪装成受信任的用户攻击受信任的站点。
2024-04-12 20:11:21
3414
1
原创 XXE以及实例
其中最常见的一种攻击是利用DTD(Document Type Definition)来读取本地文件,通过将file://协议和可访问的文件路径嵌入到XML中,攻击者可以读取服务器上的敏感文件内容。在 XML 中,CDATA 块是一种特殊的文本块,用于包含任意文本数据,包括标签和特殊字符,而不需要进行转义处理。总结起来,使用 % 的形式是参数实体引用的一种特殊用法,用于引用其他实体。需要注意的是,对于一般的实体引用,如 % 或 %,可以在 XML 文档中的任何位置使用,而不仅限于参数实体引用的定义中。
2024-03-30 20:32:16
1244
1
原创 实验室任务十
SSTI(Server-Side Template Injection)从名字可以看出即是服务器端模板注入。比如python的flask、php的thinkphp、java的spring等框架一般都采用MVC的模式,用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。
2024-03-16 21:47:30
2124
1
原创 实验室任务九
XSS又叫CSS(Cross Site Script),跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。
2024-03-07 22:08:40
894
原创 寒假任务三
创造类x,定义了一个魔术常量x为FILE(当前文件名),又定义了几个函数,construct函数让x类中的x赋值,wakeup让x重新赋值为FULE,destruct函数高亮x常量,如果传参x存在反序列化,否则输出。应传入 O:4:"wllm":2:{s:5:"admin";对wllm类序列化得: O:4:"wllm":2:{s:5:"admin";所以将 O:1:"X":1:{s:1:"x";发现还是没有代码,但是又给了我们一个链接,此时我们访问该路径,即可得到本题代码。
2024-02-14 10:17:38
846
1
原创 寒假任务二
具体查阅:[preg_match_preg_match('/.*([\w\]|\|*|(|~|`|\?|\/| |||&-优快云博客](preg_match 函数用于执行一个正则表达式匹配。语法: preg_match(string $pattern, string $subject, array &$matches);要搜索的模式串,字符串类型输入的字符串,字符串类型可选,用来存放搜索结果,存放所有匹配的字符串,用来存放第一个匹配的字符串,用来存放第三个匹配的字符串,以此类推。
2024-02-02 21:33:00
1804
原创 实验室寒假任务一
Structure Query Language(结构化查询语言)简称SQL,它被美国国家标准局(ANSI)确定为关系型数据库语言的美国标准,后被国际化标准组织(ISO)采纳为关系数据库语言的国际标准。数据库管理系统可以通过SQL管理数据库;定义和操作数据,维护数据的完整性和安全性。
2024-01-27 19:05:59
873
1
原创 实验室任务七
冯诺依曼体系结构冯 • 诺伊曼结构,也称冯 • 诺伊曼模型或普林斯顿结构,是一种将程序指令存储器和数据存储器合并在一起的电脑设计概念结构。本结构隐约指导了将存储设备与中央处理器分开的概念,因此依本结构设计出的计算机又称存储程序计算机。我们常见的计算机,如笔记本;我们不常见的计算机,如服务器,大部分都遵守冯诺依曼体系。如下图所示:截至目前,我们所认识的计算机,都是由一个个的硬件组件组成,那么主要可以分为四大类:输入设备输出设备存储器(内存)运算器 && 控制器(中央处理器,也被称为 CPU)
2023-12-16 23:12:57
98
1
原创 实验室任务六
1)首先在官网上下载标准的CentOS7镜像资源,下载完成后会得到一个ISO文件。2)打开VMware,点击“创建新的虚拟机”,之后选择“典型”。3)选择“稍后安装操作系统”,点击下一步。4)客户机操作选择“Linux”,版本选择与你下载的镜像资源对应的版本,点击下一步。5)输入“虚拟机名称”,选择虚拟机文件保存的位置,点击下一步。6)最大磁盘默认20G大小即可,然后选择“将虚拟机磁盘存储为单个文件”,下一步。7)点击”自定义硬件配置“。
2023-12-08 21:51:07
51
原创 实验室任务五
Base64是一种基于64个可打印字符来表示二进制数据的表示方法。由于2^6=64,所以每6个比特为一个单元,对应某个可打印字符。3个字节有24个比特,对应于4个Base64单元,即3个字节可由4个可打印字符来表示。在Base64中的可打印字符包括字母A-Z、a-z、数字0-9,这样共有62个字符,此外两个可打印符号在不同的系统中而不同。2.
2023-11-24 21:40:40
70
1
原创 实验室任务二
先下载个Burp(这一步最恶心人了,我就不细嗦了,自己找教程下载去。你就下载吧,一下一个不吱声。下载完毕后,打开Burp,点击Proxy—Options—Import/export CA certificate。出现新界面后,点击第一个选项,Next。之后更改证书的存放处,并将其命名为,并保存。之后打开火狐浏览器,右上角找到设置,点击隐私与安全—查看证书之后点击导入,选择burp.cer文件,确定。(注意之后将两个信任选项勾选)证书的导入便完成了。下载火狐FoxyPorxy插件后在浏览器右上角将其打开。
2023-11-01 20:41:54
139
1
原创 实验室任务一
1.首先下载软件(下载链接我就不给了)2.打开php后,点击首页,将和开启,这样我们才能开启web权限,方便之后我们打开服务器。如图:3.点击网站—创建网站,之后进行网站的配置。(切记网站密码)如图:4.之后点击管理—打开网站,若页面显示如图,则创建网站成功。
2023-10-24 22:02:10
116
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人