- 博客(20)
- 收藏
- 关注
RSS订阅原创 一篇文章精通 XSS并学会实战挖漏洞(8000 字深度版)
攻击侧基于 AI 的 Payload 生成工具(如 GPT-XSS)针对 WebRTC 等新 API 的 XSS 漏洞防御侧基于机器学习的输入检测模型浏览器内置的 Trust Tokens 机制XSS 的本质是数据与代码的身份混淆,掌握其核心在于理解 “在浏览器中,一切皆可执行”。通过持续实战和跟踪前沿技术,白帽黑客可以在攻防对抗中始终占据主动。附录:常用 Payload 速查表场景Payload基础弹窗窃取 Cookie突破过滤(字母)DOM 型 XSS(哈希)自动提交表单。
2025-03-24 00:46:45
324
原创 一篇文章从零搞懂 MD5(逆天口算MD5)
轮次函数公式第一轮F(X,Y,Z)第二轮G(X,Y,Z)第三轮H(X,Y,Z)X ⊕ Y ⊕ Z第四轮I(X,Y,Z)通过本文,你已掌握了 MD5 的核心原理,包括数据填充、链接变量初始化、四轮循环运算以及结果组合。虽然手动计算 MD5 较为复杂,但理解其流程有助于你在实际开发中正确应用哈希算法。记住,在实际项目中,应优先使用成熟的加密库,而非自行实现。
2025-03-17 21:33:51
698
原创 一篇文章搞懂XSS:原理、攻击与防御全解析
是一种通过向网页注入恶意脚本(通常为JavaScript),在用户浏览器中执行攻击代码的漏洞。攻击脚本并非直接来自被攻击网站,而是通过第三方输入途径(如URL参数、表单提交)注入到页面中。:前端JavaScript动态操作DOM时未过滤数据,导致恶意代码执行。:恶意脚本被永久存储到服务器(如评论、数据库),用户访问时加载。:恶意脚本通过URL参数传递,服务器未过滤直接返回到页面。:论坛、留言板等UGC(用户生成内容)场景。:单页面应用(SPA)或依赖前端路由的网站。:仅允许安全字符(如字母、数字)。
2025-03-09 14:23:33
908
原创 UPX加壳 + MSFvenom免杀实战:从原理到对抗检测
UPX(Ultimate Packer for eXecutables)作为经典的可执行文件压缩工具,常被用于混淆恶意软件结构。结合Metasploit(MSF)生成的载荷(Payload),可绕过部分杀毒软件(AV)的静态检测。:启用EDR的内存扫描功能(如Microsoft Defender for Endpoint)。:UPX压缩会改变文件熵值,破坏原生Payload的静态特征。:检测高熵值文件(UPX压缩后熵值通常>7.0)。:压缩后的文件体积更小,降低沙箱分析的优先级。
2025-03-09 12:21:01
973
原创 渗透测试实战指南:从信息收集到权限维持
合法授权前提下,建议通过CTF比赛(如Hack The Box)或漏洞众测平台(如HackerOne)进行实战训练。本文仅用于技术研究,请遵守网络安全法。:部署云WAF(如Cloudflare)或硬件WAF,过滤恶意请求。:尽可能多地获取目标信息,包括子域名、IP、端口、技术栈等。:使用SIEM(如Splunk)实时分析异常行为。:SQL注入、XSS、文件上传、未授权访问等。:建立SRC(安全响应中心),定期进行渗透测试。,需结合自动化工具与手动验证。:遵循最小权限原则,限制数据库账户权限。
2025-03-09 12:00:59
730
原创 一文搞懂MSF后渗透免杀:从持久化到深度隐藏
在成功利用MSFvenom生成免杀载荷并获取目标权限后,如何长期维持控制并规避高级检测(如EDR、流量审计)成为关键。利用CDN域名(如Cloudflare)隐藏真实C2服务器。通过WMI事件(如用户登录、系统启动)触发Payload。直接将恶意代码注入内存执行,不落盘、无文件特征。:避免恶意进程暴露在任务管理器或进程监控工具中。创建合法进程的挂起实例,替换其内存为恶意代码。,涵盖进程隐藏、权限维持、流量伪装等实战策略。:加密或混淆通信数据,绕过网络层检测。协议,模拟浏览器或系统更新流量。
2025-03-09 11:04:54
534
原创 一篇文章入门 Python:变量、函数、模块、类
定义变量并赋值name = "Alice" # 字符串类型age = 25 # 整数类型height = 1.68 # 浮点数类型is_student = True # 布尔类型# 定义一个简单的函数# 调用函数print(message) # 输出: Hello, Alice!创建一个 Python 文件(如print(message) # 输出: Hello, Bob!# 定义一个类# 构造函数,初始化对象属性# 类的方法变量:用于存储数据,无需声明类型。函数。
2025-03-07 12:19:19
392
原创 一篇文章搞懂mysql进阶
通过本进阶教程,你已经深入了解了 MySQL 的高级特性、性能优化、高可用性架构设计以及一些实用的工具和技巧。这些知识将帮助你在实际项目中更好地应对复杂的数据库需求,提升系统的性能和可靠性。希望这篇进阶教程能帮助你在 MySQL 的使用上更上一层楼。如果你有更多问题,欢迎查阅 MySQL 官方文档或参考相关书籍和教程。
2025-02-20 19:20:07
659
原创 一篇文章搞懂python高阶爬虫
本文从基础知识到高阶技巧,全面讲解了Python爬虫的开发与优化。掌握这些技能后,你将能够应对各种复杂的爬虫任务。注意:爬虫开发应遵守相关法律法规,尊重网站的使用条款,避免对目标网站造成不必要的负担。
2025-02-19 20:51:40
1081
原创 HarmonyOS?
鸿蒙(HarmonyOS)是华为开发的一款面向全场景的分布式操作系统,支持多种设备类型,如手机、平板、智能手表、智能家居等。
2025-02-19 20:42:19
645
原创 一篇文章带你制作属于你自己的网站
根据你的技术水平和需求,选择合适的方法。如果你没有编程经验,推荐使用 Wix、Squarespace 或 WordPress.com 等平台。如果你有技术背景,可以考虑使用静态网站生成器或云服务。
2025-02-19 20:32:04
621
原创 一篇文章搞懂密码学
密码学是研究如何保护信息安全的学科,涉及加密、解密、认证、签名等技术。本文将从基础概念、加密算法、应用场景等方面全面介绍密码学,帮助你快速掌握这一领域的核心知识。
2025-02-19 20:11:46
679
原创 一篇文章入门 Python(python永不断更)
通过本文,你已经掌握了 Python 的基本语法和概念。Python 的应用领域非常广泛,包括 Web 开发、数据分析、人工智能、自动化脚本等。接下来,你可以通过阅读官方文档、参考书籍或在线教程来进一步深入学习 Python。祝你编程愉快!(python永不断更)
2025-02-19 20:05:00
413
原创 一篇文章搞懂 Windows
主题与壁纸:通过设置 > 个性化更改桌面背景、颜色、锁屏界面等。字体管理:通过控制面板 > 外观和个性化 > 字体安装或删除字体。
2025-02-19 01:04:02
369
原创 一篇文章搞懂 Linux
Linux 是一个基于 Unix 的开源操作系统内核。它不是一个完整的操作系统,而是一个核心组件,负责管理硬件资源(如 CPU、内存、磁盘等)并为应用程序提供运行环境。完整的 Linux 系统通常包括内核、GNU 工具、Shell 和其他应用程序。Linux 是一个强大而灵活的操作系统,适用于从个人电脑到超级计算机的多种场景。通过学习 Linux,你可以掌握操作系统的核心原理,提升技术能力,并为未来的职业发展打下坚实基础。希望这篇文章能帮助你快速入门 Linux,开启你的开源之旅!
2025-02-19 01:00:10
834
原创 一篇文章搞懂计算机网络
计算机网络是指通过通信线路和网络设备,将分布在不同地理位置的计算机系统连接起来,实现数据通信和资源共享的系统。计算机网络可以分为局域网(LAN)、城域网(MAN)、广域网(WAN)等。计算机网络是现代信息社会的基石,理解其基本原理和技术对于从事IT行业的人员至关重要。本文从基础概念、网络体系结构、协议、设备、安全等方面全面介绍了计算机网络,希望能够帮助读者建立起对计算机网络的整体认识。随着技术的不断发展,计算机网络将继续推动社会的进步和创新。
2025-02-19 00:55:40
785
原创 一篇文章搞懂 MySQL
MySQL 是由瑞典公司 MySQL AB 开发的关系型数据库管理系统,后来被 Oracle 公司收购。它支持多用户、多线程,并且可以在多种操作系统上运行,如 Linux、Windows、macOS 等。MySQL 是一个功能强大且易于使用的关系型数据库管理系统。通过本文,你已经了解了 MySQL 的基础操作、SQL 语法、索引优化、事务处理以及备份恢复等内容。无论是初学者还是有经验的开发者,掌握这些知识都能帮助你更好地使用 MySQL 来管理和操作数据。
2025-02-19 00:47:32
2680
1
原创 一篇文章搞懂 SQLMap
SQL 注入(SQL Injection)是一种常见的 Web 应用程序安全漏洞,攻击者通过在用户输入中插入恶意的 SQL 代码,从而操纵后端数据库查询,获取敏感数据或执行未经授权的操作。SQLMap 是一款自动化 SQL 注入工具,能够自动检测和利用 SQL 注入漏洞。自动化检测:自动识别注入点并利用漏洞。多种数据库支持:支持 MySQL、Oracle、PostgreSQL、SQL Server 等主流数据库。强大的功能:支持文件系统访问、操作系统命令执行、数据导出等高级功能。灵活的配置。
2025-02-19 00:28:57
772
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人