喵喵喵

Day 2 扩展1、常见浏览器协议1)ftp\https\fileftp: definition  FTP（File Transfer Protocol，文件传输协议） 是 TCP/IP 协议组中的协议之一。FTP协议包括两个组成部分，其一为FTP服务器，其二为FTP客户端。其中FTP服务器用来存储文件，用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。 https...

文章目录Part 1 课程笔记攻击防御Part 2 课后习题Part 1 课程笔记攻击防御Part 2 课后习题

文章目录Part 1 MIME上传绕过实例step 1 环境配置Part 4 课后习题Part 1 MIME上传绕过实例step 1 环境配置1、设置代理2、访问10.1.1.59：81，用户名是admin，密码是password。然后打开burp，在dvwa中访问SQLinjection，截获的数据包如下。3、单击右键选择send to spider，切换到Spider模块下，bu...

文章目录Part 1 课程笔记概念Part 2 课后习题Part 1 课程笔记概念xss，cross site script 跨站脚本。一种注入攻击，指攻击者在页面注入恶意脚本代码，当受害者在访问页面时，恶意代码会在其浏览器上执行。不仅限于JavaScript，还有flash等其他语言。Part 2 课后习题...

文章目录Part 1 实验步骤和配置过程1.配置burp和浏览器代理，使burp能够正常运行step 1 设置burp监听端口step 2 配置浏览器代理项step 3 测试2.学会使用burp中的compare模块3.学会使用burp中的 repeat模块4.学会使用burp中的intruder模块Part 2 实战演练Part 1 实验步骤和配置过程1.配置burp和浏览器代理，使burp...

文章目录Part 1 课程笔记1、攻击2、防御Part 2 课后习题Part 1 课程笔记1、攻击弱口令容易被拆解的口令，如简单数字序列、字母序列和常见单词等。详见[2018弱密码top10](https://blog.youkuaiyun.com/qq1124794084/article/details/85048002)危害 1撞库漏洞 2信息泄露 3权限获取2、防御密码等级 ...

文章目录课程笔记命令执行执行条件漏洞危害课后习题课程笔记命令执行应用有时需要调用一些执行系统命令的函数比如PHP中的system、exec、shell_exec、pssthru、popen、proc_popen等，当用户能控制这些函数中的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞。执行条件应用执行系统命令的函数将用户输入作为系统命令的参数拼...

文章目录web开发发展历程HTTP协议简介实验环境HTTP内容简介HTTP请求HTTP格式推荐文档HTML简介CSS简介JavaScript简介小结WSGI接口简介运行WSGI服务小结web开发发展历程Python有上百种web开发框架，有很多成熟的模块技术，用Python进行web开发，开发效率高，运行速度快。HTTP协议简介在web应用中，服务器将网页传给服务器，实质上就是将网页的H...

文章目录预备知识预备知识跨站攻击（Cross Site Script Execution）是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面，嵌入其中的脚本将被解释执行。由于HTML语言允许使用脚本进行简单交互，入侵者便通过技术手段在某个页面里插入一个恶意HTML代码，例如记录论坛保存的用户信息（Cookie），由于Cookie保...

文章目录Part 1 课程笔记1、owasp top 10简介2、应用程序安全风险3、OWASP TOP 10 内容5、新闻or漏洞平台Part 2 课后题Part 1 课程笔记1、owasp top 10简介Open Web Application Security Project:世界范围内的一个非盈利组织，目的在于提高软件系统安全性；top10 整理总结了web 应用开发中常见的漏洞；...

Part 1课程笔记软件简介burpsuite是个web应用攻击集成平台，包含诸多工具并为这些工具设计了诸多借口。标签包括target、proxy、spider、scanner、intruder、repeater、sequencer、decoder、compare、extender软件使用Burp Suite 实战指南Part 2 课后题【解析】本机IP为127.0.0.1，默认端口...

Part 1 常见Web服务端架构简介课后题【解析】Apache是web服务器软件，MySQL是小型关系数据库，Java是一种面向对象编程语言，PHP是世界上最好的语言（是一种开源的通用计算机脚本语言，尤其适用于网络开发并可嵌入HTML中使用。）。【解析】Nginx是一种异步框架网页服务器，也可用作反向代理、负载平衡器（主要功能）和HTTP缓存，其特点是可以部署在网络上使用FastCGI脚...

Part 1 常见Web服务端架构简介课后题【解析】MySQL默认监听端口号为3306，查看方式：mysql -u root -p # 按回车之后输入密码show global variables like ‘port’;【解析】前三种都是访问web服务的方式。对于D选项，个人理解，Mac地址对于本地网络才有意义，而访问web服务需要通过路由器，Mac地址过不了路由器。（这一点我...

LAMP环境搭建课后题lamp:linux+apache+mysql+php合天网安实验室使用的是centos，我这里使用的是macOS Mojave。【解析】如上。【解析】无【解析】使用格式如下：GET方法：curl protocol://address:port/urlPOST方法：curl -d “args” “protocol://address:port/url”...

web通信基础课后题【解析】web全称world wide web，又称万维网，因为域名通常以www开头，故人称ww【解析】我们平常说的网址正式的称呼是url，全称uniform resource locator,中文名统一资源定位器，其格式如下图：简单来说就是底层协议+域名+端口+资源具体路径+发送给服务器的数据+锚点。题目所述，双斜杠//和第一个/之前的内容为域名+端口+资源具体路...

HTTP协议基础课后题【解析】HTTP，HyperText Transfer Protocol,超文本传输协议，是tcp/ip协议应用层协议。【解析】http超文本传输协议用于在Internet上浏览器与web服务器之间数据的发送与接收。它是一种无状态的连接，指协议对于事务处理没有记忆能力；是TCP/IP协议族的应用层协议；它本质上是一种tcp连接，遵循三次握手协议。【解析】根据HTT...

Part 1 浏览器特性和安全策略课后题【解析】同源是指两个页面的主机、域名、端口都相同则为同源。题目所述http协议默认端口为80,故A、B同源，D选项中最后的/sec/websec为服务器上资源的存放路径，其端口为默认端口，故与A、B同源【解析】同上，文件路径不作要求。Part 2 其他总结1、同源策略：如上2、cookie作用：Cookie 为 Web 应用程序保存用户相关信...

Part 1 Javascript基础课后题【解析】JavaScript是由Netscape开发，因其当时在与Sun公司合作，为了提高这种语言的知名度，故强行改名与时下热门的Java沾上边。其他选项都对。【解析】JavaScript代码置于之间。【解析】满足条件,即弹出一个消息框function show_alert(){  alert(“弹出信息”);}满足条件,即时...

Part 1 课程笔记php5.5放弃了扩展，php7及以后MySQL的扩展完全被移除了，官方推荐使用更新的mysqli来代替mysql扩展。两者函数一样。mysqli扩展被封装到一个类中，既可以面向对象也可以面向过程。mysqli可以避免产生SQL注入，但也不是没有安全问题，可以用参数化查询的方法避免。Part 2 实验操作PHP语法PHP标记ASP标记：<%...%>(...