weixin_42555985的博客

2019-2-8 Windows下使用docker docker学习可以参见 Docker教程 Docker — 从入门到实践

命令注入攻击是通过有漏洞的应用程序在主机操作系统上执行任意命令进行攻击。当应用程序将不安全的用户提供的数据（表单、cookie、HTTP头等）传递给系统shell时，就可能会发生命令注入攻击。在这种攻击中，攻击者使用的操作系统命令通常以有漏洞的应用程序的权限执行。发生命令注入攻击主要是由于对输入的验证不足。 这种攻击不同于代码注入（sql injection，XSS等），代码注入允许攻击者添加自己...

什么是存储型XSS攻击（Stored XSS Attacks）？ 存储型XSS攻击是指注入的恶意脚本永久存储在目标服务器上的攻击。例如数据库、消息论坛、访问者日志、注释字段等。当受害者请求存储的信息时，它会从服务器中检索恶意脚本。存储的XSS有时也称为持久性（Persistent）或I型XSS。 low 看源码low.php <?php if( isset( $_POST[ 'btnSig...

什么是XSS攻击？ XSS，Cross-site Scripting ，跨站脚本攻击，是一种注入型攻击, 它会把恶意脚本（malicious scripts） 注入其他网站中。当攻击者使用Web应用程序向不同的最终用户发送恶意脚本（通常以浏览器脚本的形式）时，就会发生XSS攻击。 能让这些攻击成功的缺陷非常普遍，例如：Web应用程序在其生成的输出中使用了用户输入，同时又不做验证（validatin...

2019-2-26 dvwa学习(3)–sql注入级别high 继续把dvwa环境安全级别调整为high 观察界面 high级别页面，点击"here to change your ID"，会打开另外一个网页(session-input.php)，然后输入3，提交，在主页面上会显示数据。 我们打开session-input.php的开发者工具，获取cookie 现在尝试按照前面的方式攻击，pos...

继续把dvwa环境安全级别调整为impossible 观察界面 看上去似乎和low级别没有大的区别，只是浏览器中get方法提交的参数多了一个。 impossible.php代码如下 <?php if( isset( $_GET[ 'Submit' ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_...

2019-2-13 在Win10pro版本中使用docker可以安装Docker for Windows Installer。 安装完毕需要注销后重新登录。

因为要学习sqlmap，所以需要搭一个测试环境。 查了网上http://www.360doc.com/content/13/0614/22/11029609_292922372.shtml，打算搞个dvwa环境。 DVWA全称是Damn Vulnerable Web Application，它是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XS...

2019-2-10 docker中运行tensorflow docker的安装参见Win10家庭版下使用docker 安装和运行tensorflow可以参照以下命令 docker run -it -p hostPort:containerPort TensorFlowImage 默认可以不使用-p参数 如果要在浏览器Jupyter里编程，需要端口转发-p 8888:8888 如果容器内部运行 ...

什么是反射型XSS攻击（Reflected XSS Attacks）？ 先来解释一下反射型XSS攻击的过程：攻击者把恶意代码注入到正常的URL之中，然后把带有恶意代码的URL通过邮件或者其他网站链接形式发送给用户。当用户被诱骗点击恶意链接、提交精心设计的表单，甚至浏览恶意网站时，注入的代码会传到易受攻击的网站服务器。服务器端接收数据处理后，再把带有恶意代码的数据返回用户的浏览器。由于数据来自可信网...