- 博客(10)
- 收藏
- 关注
RSS订阅原创 一篇文章带你了解WAF
想象你进小区时保安会查包,WAF也一样,它会检查所有进出网站的流量,判断是不是“坏人”。就像网站的“智能门卫”,专门盯着进出网站的数据包,识别并拦截可疑的请求。:WAF会观察正常流量,逐渐学会区分“正常用户行为”和“攻击行为”。:网站有个漏洞暂时修不了,先用WAF定制规则拦截攻击,争取修复时间。:如果某个IP每秒发100次登录请求,明显是暴力破解,直接拉黑。:自动限制单个IP的请求频率,比如1秒内超过50次请求就封IP。:流量先经过云服务商的WAF过滤,干净的流量才到你的服务器。:突然大量奇怪请求?
2025-02-25 16:49:38
436
原创 在Windows环境下部署SQLMap工具
运行测试:python sqlmap.py -u http://192.168.xx.xx/sqli/Less-1/?Python:SQLMap是一个用Python编写的工具,因此您需要在计算机上安装Python。链接直达:https://www.python.org/downloads。我这里用的python版本是:python-3.13.2-amd64。SQLMap源码:下载SQLMap的源码并解压到本地目录。解压后进入目录,在当前目录打开命令窗口进行测试。其余SQLMap命令可参考上一篇文档。
2025-02-10 15:22:42
307
原创 常用渗透工具——SQLMap
SQLMap 是一款开源的自动化 SQL 注入攻击和数据库接管工具。SQLMap 支持多种数据库管理系统(DBMS),如 MySQL、PostgreSQL、Oracle、SQL Server 等,并且提供了强大的功能来自动化 SQL 注入的测试、漏洞验证、数据提取等。更新包列表:sudo apt update(先更新软件源列表,确保你的系统知道有哪些可用的更新)如果你使用的是kali那么可以直接使用无需安装,但要注意更新,有时候会出现这样的情况。显示了使用的数据库和apache版本号,那么就是有注入的。
2025-02-10 14:48:43
1472
原创 搭建SQL注入平台:sqli-labs
SQL注入是一种攻击者通过,向数据库注入恶意SQL代码的漏洞。其目标是绕过应用程序的安全机制,直接操控或破坏数据库。危害:窃取敏感数据(如用户信息、密码)。篡改或删除数据库内容。执行数据库管理员操作(如备份、删除表)。
2025-02-04 14:29:45
345
原创 基于phpstudy搭建DVWA靶场
DVWA 简介:DVWA 是一个用于 web 安全学习的靶场,设计了多种不同级别的漏洞,供学习者练习 web 安全攻击和防护技术。查看文件信息,连接的是一个名为dvwa的数据库,给定的用户名和密码均不为我们MySQL的登录账号密码。显示创建成功,回到登录界面,dvwa的登录账号:admin 密码:password。通常情况下,DVWA 会在安装时提供一个默认的配置文件模板,名为。该文件就在DVWA/config文件夹下,先创一个副本防止更改出错。其他的登录账号也是有的,进入MySQL查看。
2025-02-03 15:31:00
341
原创 从零开始:如何安装和配置 PHPStudy 开发环境
1.在命令窗口登入MySQL先查看数据库登录用户名和密码打开cmd窗口输入MySQL登录指令:mysql -u用户名 -p 执行后等待输入密码如下:显示不是内部指令,是因为没有配置环境变量,所以不能在任意位置执行指令,只有在mysql执行文件夹下运行该命令。首先找到MySQL.exe目录。进入phpstudy的设置,点击文件位置,选中MySQL进入MySQL目录进入之后,进入bin目录,就可以看见mysql应用程序了。
2025-02-03 13:25:51
2024
原创 Linux系统基础指令学习
很显然,命令“init 0”的作用是由当前运行级别切换到关机状态,而实际执行是向系统的“init”进程发送终止信号,因“init”进程是系统中的“顶级”进程,该进程终止,意味着系统中的用户进程和守护进程等同时终止,即实现了系统关机的功能。切换到上级目录的某一目录: cd ../目录名。第一部分:一个字符,d:表目录,-:表文件,|:表链接文件,b:表可供存储的周边设备, c:表串行端口设备如鼠标。1.检查IP地址:宿主机:xxx.xxx.xxx.xxx 虚拟机:xxx.xxx.xxx.xxx。
2025-01-29 13:05:19
237
原创 微信小程序项目开发(大学生结课参考)
这里可以看见引入了util.js的内容可用util调用,且原本这个界面显示的社团详情为空,通过onLoad加载时利用指定ID在原util.js中的clubs数组找到与ID值匹配的信息,并赋值给该页面下的空数组club,最后通过页面更新显现出来。在报名的功能实现中:使用 map() 方法遍历数组中每个数据,对于每个活动,如果它的 id 和 activityId(即用户点击的活动)匹配,就将该活动的 isUserRegistered 属性设置为 true,表示用户已经成功报名。
2025-01-29 11:33:02
647
原创 微信小程序开发工具入门操作
查看Windows版本:开始——>账户——>更改账户设置——>主页——>系统——>关于——>系统类型。1.模拟器:就是最左侧的手机页面展示,双击模拟器可以将其隐藏,可以将代码反映到手机界面中,注意这里的“昵称”,将在第二步的编译器中实现对它的修改。2.编辑器:中间显示代码并可以实施修改的区域,双击编辑器同样能将其隐藏,修改编辑器中的代码内容,可以在模拟器中显现出来。进入下载程序之前,先进入微信公众号平台进行注册,选择“小程序”,完成指定的3个步骤即可。二、进入软件,获得AppID(小程序ID)
2024-10-17 22:05:39
10842
原创 Burpsuite安装SQLMap,自动生成注入语句
获取插件后,进入CO2模块,点击Config进行配置,需要选择两个正确路径分别为SQLmap和python2.7的安装路径。2.配置好后将抓包信息发送到CO2,将自动生成SQLmap扫描语句。3.之后直接在Kali的命令行中输入:sqlmap 生成语句 即可。所需环境:Kali及其内置的Burpsuite。
2024-04-16 15:06:21
605
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人