- 博客(77)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 网络攻防快速入门笔记web | 02 SQL注入
SQL注入是在用户请求输入时,由于后端代码没有对用户输入的子符串进行过滤、转义、限制或处理不严谨等,导致用户可以通过输入恶意字符串改变原有的 SQL查询语句,从而泄露信息。
2025-04-07 14:42:30
770
原创 网络攻防快速入门笔记web | 01 信息搜集
Nmap是一款开源免费的针对大型网络的端口扫描工具,nmap可以检测目标主机是否在线、主机端口开放情况、检测主机运行的服务类型及版本信息、检测操作系统与设备类型等信息。本文主要介绍基本使用方法。Nmap主要功能:(1)检测主机是否在线。例如,列出响应TCP和/或ICMP请求或打开特定端口的主机。(2)扫描指定主机/主机列表端口开放状态,枚举目标主机上的开放端口,常用。(3)检测主机运行服务类型及版本,检测远程设备上的网络服务以确定应用程序名称和版本号。
2025-04-03 10:35:57
778
原创 网络攻防快速入门笔记pwn | 02 栈溢出题型 | 2.3 ret2syscall
系统调用是操作系统提供给应用程序的一种接口,允许应用程序请求操作系统执行特权指令,如文件操作、网络通信、进程管理等;x86通过int 0x80指令进行系统调用、amd64通过syscall指令进行系统调用。ROP是一种漏洞利用技术,利用程序已有代码片段(即gadgets)来构建攻击payload,而不是注入新的代码。这对于执行非执行区域(NX)的内存非常有用。
2025-04-01 10:24:39
906
原创 网络攻防快速入门笔记pwn | 02 栈溢出题型 | 2.2 ret2libc
ret2lib这种攻击方式主要是针对动态链接编译的程序,因为正常情况下是无法在程序中找到像system()execve()这种系统级别的函数(如果程序中直接包含了这种函数就可以直接控制返回地址指向他们,而不用通过这种麻烦的方式)。
2025-04-01 09:09:28
531
原创 网络攻防快速入门笔记pwn | 02 栈溢出题型 | 2.1 ret2text和ret2shellcode
将返回地址覆盖为程序.text段中已有代码的地址,从而执行本身的代码,由于我们要获得shell,二进制文件中本身就含有一个可以直接获取权限的函数,然后我们通过栈溢出漏洞,控制程序执行留,将返回地址覆盖为这个函数的地址让文件运行这个获取权限的函数,我们就可以拿到权限,进而获取flag。程序会把栈的地址输出,然后我们接收程序输出的栈地址,然后向栈中输入shellcode,通过栈溢出跳到输入shellcode的位置,最终获取shell。获取到系统权限之后,就可以输入相应的linux命令,一般用到。
2025-03-31 10:25:31
903
原创 网络攻防快速入门笔记pwn|01 Pwn栈溢出基础
⚫ 定义:根据程序漏洞,编写利用脚本破解漏洞,获得系统权限,从而获得flag。⚫ 一般解题思路:①出题人给出自己服务器的IP和端口,并在端口上运行一个进程② 出题人再给出一个二进制文件,这个二进制文件刚好就是这个进程运行的文件③我们通过找出出题人提供的二进制文件的漏洞;④ 利用漏洞获取出题人服务器的最高权限;
2025-03-31 09:58:44
729
原创 Python可视化神器Seaborn入门系列——kdeplot
Seaborn是基于matplotlib的Python可视化库。它提供了一个高级界面来绘制有吸引力的统计图形。Seaborn其实是在matplotlib的基础上进行了更高级的API封装,从而使得作图更加容易,不需要经过大量的调整就能使你的图变得精致。但应强调的是,应该把Seaborn视为matplotlib的补充,而不是替代物。
2023-05-23 15:30:16
6716
原创 赛码JavaScript输入输出函数在本地的配置
最近一直在忙着写论文,面试和笔试,很少进行总结,尤其是tx的面试,让我发现自己基础是真的不牢固,红宝书那本书确实是很好的一本书,我第一遍看的时候很多地方都没看懂,后来系统跟着课程学了之后,再回头去看那本书的一些部分,也有不同的收获,为了找工作,我一直在忙于背八股,搭项目,却忽视了最基础的架构——javascrpt,反思一下自己这篇文章主要是想写一些赛码网的环境搭建,赛码网的输入输出都是有自己定义的输入输出函数的,昨晚写美团的笔试,本身题目并不难,却因为输入输出导致了很多问题,不应该。。。
2023-04-23 14:18:15
391
原创 最通俗的语言解释01背包问题(力扣416题javascript版本)
其实写到这里很多人都无法理解为啥突然就是这样子的(尤其逻辑性很强的同学(狗头)),下面具体分析一下,为什么是这样,我的推荐是先记住,然后通过下面的分析知道为什么就可以,自己从0到1推真的很难。这个数组乍一看还是有点云里雾里,其实这里就是用一个二维数组去遍历所有的情况,每个空格表示当前情况下的最大的价值总和,比如。先来看一个场景:有N件物品,背包最大的重量为W,第i件物品的重量为weight[i],得到的价值为value[i],像上面这样的问题,其实就是经典的01背包问题,那01背包问题。
2023-04-19 09:28:15
573
原创 阿里钉钉前端简历评估面试题
大家面试前一定要提前演练一下,推荐面对镜子自己对自己说一下,我当时太紧张有点卡壳。。。我当时在B站看到有一种自我介绍思路还挺牛的,大家也可以参考一下,就是把自己的人生当成游戏,自己就是从新手村不断打怪升级的过程,然后才走到面试这一步,只不过你要把每一步都和职业发展联系在一起;B站推荐视频。
2023-04-16 22:44:08
587
1
原创 力扣javascript刷题343——动态规划之整数拆分
这几天有在开始投暑期实习的简历,可能确实是投的太晚了,好多厂都没有hc了,阿里简历面都没过(感觉是kpi面试),被深深打击到了呜呜呜,花了两天整理情绪,重新出发,下篇文章针对阿里简历面的问题进行重新整理。
2023-04-16 15:29:47
514
原创 a标签导致的按钮子元素点击无效
我还一直以为是冒泡的问题,但是写了阻止冒泡还是不太行,后来以为是。标签,就会跳转到页面的首页,由于我这个页面没有滑动条,其实。,点击方法用antd中的气泡弹出窗口,结果就是点击。除此之外,即使我写了阻止冒泡,也没办法阻止。也会跳转, 按照事件冒泡的原理,点击。点击事件是先触发了,但是紧随其后。这个点很重要,记下来,防止忘记,的点击事件,触发了之后才会触发。标签也跳转了,由于速度过快,就已经刷新了,所以看起来就像。组件的问题,看了好久的。标签,问题就解决啦。标签会进行跳转,点击。,这个表示的是,点击。
2023-04-11 09:00:00
970
原创 宝塔配置不生效,学会用nginx配置
其实只要配置好了运行的nginx是运行中的nginx,很多东西都可以通过nginx进行配置,我个人觉得nginx配置比宝塔配置更加方便快捷
2023-04-10 19:58:36
3395
1
原创 json-server部署服务器出现net::ERR_CONNECTION_REFUSED的问题
讲到这里,我就理解我之前出现的各种现象了,首先,我们在服务器搭建了一个json-server程序,该程序部署在服务器的localhost地址上,想要拿到这里的数据,只能在本地服务器拿,因为数据没办法在网络层面传输,哪怕后来我的axios改成服务器公网IP,也要走网卡去解析公网IP,所以拿不到数据;答案是 还是取不到数据--------------------😓逻辑应该是没有问题的,这一步应该没有错,至于为什么没有取到数据,看来还得还得继续改。好奇怪,我这里是可以取到数据的,那问题究竟出在哪里呢?
2023-04-08 13:29:19
933
原创 项目问题记录:使用javascript打字库type.js时出现两个光标——useeffect销毁元素
刚开始我以为是光标速度出现的时间和消失的时间出现了重合,才出现这种情况,然后我就开始查github官方文档,查到各种调整时间的方式,调了很久,这个问题还是没有解决,到底问题出在了哪呢;然后我突然就想到之前学习生命周期的时候,会出现两次渲染的情况,所以我就重新看了官方文档,发现是我。,不是我写的,看样子应该是这个插件加进去的,为什么是加了两个呢,有时候甚至加了三个。我这篇博客就不作具体阐述,今天我遇到的问题是这样的,我的项目是。,但是页面正常了,只有一个光标了。今天项目遇到一个问题,哎好宝,还改了很久…
2023-04-01 14:03:06
616
原创 一篇文章把所有前端安全相关的攻击和防御都给解决了——XSS攻击和CSRF攻击
CSRF(Cross-site request forgery,跨站请求伪造也被称为One Click Attack 或者 Session Riding ,通常缩写为 CSRF或者XSRF,是一种欺骗受害者提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行非本意、恶意的操作。它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。尽管CSRF听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。
2023-03-31 10:46:12
892
原创 一篇文章搞懂缓存机制,cookie和浏览器缓存~
在本篇文章中,我们会用通俗易懂的语言简要介绍cookie和浏览器存储机制,然后具体展开总结一下浏览器存储在面试中八股常考点,文章有点长,看完大概需要花费8分钟~
2023-03-24 17:27:09
2072
原创 TCP连接的三次握手和四次挥手
TCP的建立采用客户端-服务器的方式,其中,主动发起连接建立的应用程序叫做客户,被动等待连接建立的应用程序叫做服务器,在服务器和客服端建立连接时,会有三次握手,三次握手后成功建立连接,并传输数据,当数据传输完成后,会有三次挥手,断开连接。借这篇文章复习一下TCP三次握手和四次挥手~
2023-03-23 15:35:54
418
原创 三个例题说明白什么是回溯算法,javascript解决组合问题
回溯算法其实很复杂,本质上就是一种穷举的方式,穷举所有可能的结果,然后选出我们想要的答案。
2023-03-17 19:24:19
367
原创 javascript刷链表——链表基础知识、虚拟头节点操作链表及链表基本操作
javascript刷链表——链表基础知识、虚拟头节点操作链表及链表基本操作
2023-02-28 10:45:44
479
原创 深入浅出Webpack2-快速掌握webpack基本配置
这篇文章介绍了webpack基本配置,掌握了这些基本配置之后,才能更好的查阅文档,拿到需求后知道需求在文档中的哪一个模块
2023-02-24 12:15:00
831
原创 TypeScript和javascript的区别?掌握这些ts基础从而快速上手TypeScript
TypeScript基础部分和javascript有啥区别
2023-02-23 19:38:10
165
1
原创 深入浅出Webpack1——快速上手认识Webpack
webpack的配置项很复杂,这篇文章旨在介绍webpack的前世今生,同时展示了webpack是怎么在项目中起作用的,让读者快速上手认识webpack
2023-02-23 09:28:38
465
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人