weixin_43781306的博客

原创 termux+github+hexo搭建博客

原创 泷羽sec-星光不负a-学习打卡-安全见闻(3)

PowerShell 是一种功能强大的脚本语言和 shell 程序框架，主要用于 Windows 计算机，方便管理员进行系统管理，它有可能在未来取代 Windows 上的默认命令提示符。批处理文件：在 MS-DOS、DOS 和 Windows（任意）系统中，.bat 文件是可执行文件，由一系列命令构成，其中可以包含对其他程序的调用。批处理文件可以用文本方式来编辑。脚本语言又被称为动态语言，是一种编程语言，用来控制系统里的软件应用程序，脚本通常以文本（如ASCII）保存，只有在被调用时进行解释或编译。

原创 powershell常用命令大全

一、服务管理1.查看服务2.启动和停止服务二、事件日志查询1.查看事件日志三、变量操作1.定义变量2.查看变量的值四、脚本执行相关1.运行脚本五、远程管理（需要适当配置）1.连接到远程计算机六、模块管理1.查看已安装的模块2.安装模块

原创 bat常用命令大全

这个示例中，首先定义了一个变量 num ，然后使用 if 语句判断 num 的值是否等于5，如果是则输出相应信息，否则输出另一条信息。在批处理中，变量引用需要使用 % 符号（在循环等复杂情况下可能需要使用!符号进行延迟变量扩展）。这个示例中， for 循环会遍历当前目录下所有扩展名为.txt的文件，并对每个文件执行 echo 命令，显示文件名。在批处理文件中，变量使用 %% 符号，而在命令行直接执行时使用 % 符号。

原创 泷羽sec-星光不负a-学习打卡-安全见闻(2)

假设用户A和用户B的网站在同一个共享缓存环境下，恶意用户C通过某种漏洞突破了缓存隔离，将用户A网站的恶意篡改版本缓存起来，当用户B的访客访问用户A的网站（可能存在某些关联访问情况）时，就会获取到被篡改的恶意内容。例如，将上层页面设置为半透明，使得下层页面的某些元素透过上层页面显示出来，用户以为是在点击上层页面的正常元素，实际上却点击到了下层页面的恶意元素。例如，一个电商网站缓存了用户的订单详情页面，其中包含用户的收货地址、购买商品等信息，一旦被泄露，用户可能会遭受诈骗等风险。比如在一个论坛系统中，攻击者。

原创 泷羽sec-星光不负a-学习打卡-安全见闻(1)

例如，斯坦福大学的一对教师夫妇在 1984 年 12 月设计的“多协议路由器”，可以使斯坦福大学内不兼容的计算机局域网整合在一起形成统一网络，这是路由器的前身。MAC 地址（Media Access Control Address），直译为媒体存取控制地址，也叫物理地址、硬件地址，用来定义网络设备的位置，每个网卡出厂时其厂家会赋予其一个全球独一无二的 MAC 地址。最常见的交换机是以太网交换机。工作在 OSI 参考模型的网络层，是网络互联的关键设备，能连接两个或多个网络，在网络间起到网关的作用。

原创 泷羽sec-星光不负a-学习打卡-信息收集(4)

Wappalyzer 是一款功能强大的网站技术分析工具，它能够帮助用户识别并列出当前访问网站所使用的各种技术栈。这款工具通过检查网站的源代码、HTTP头文件、Cookie、JavaScript 变量等技术方法，在数百万个网站上追踪了上千种网络技术，并使用内部爬虫进行深入分析。每个平台的爬取规则不一样，所以爬取到的信息也就不一样，所以要尽多的在不同的平台爬取信息。

原创 泷羽sec-星光不负a-学习打卡-信息收集(3)

FOFA－网络空间资产搜索引擎是华顺信安推出的一款通过对全球网络对外开放服务的资产进行主动或被动方式探测、抓取、存储，分析整理不同种类的网络空间资产指纹信息（规则），并对符合规则的资产进行统计分析，进而快速检索全球网络空间资产的产品。它能够帮助用户迅速进行网络资产匹配，快速开展网络空间威胁态势感知、漏洞影响范围分析、应用分布统计、应用流行度排名统计等工作。inurl:/phpmyadmin/index.php（查找后台数据库管理系统）(可查询相关人电话和公开招标文件信息)(有经济条件开会员)

原创 泷羽sec-星光不负a-学习打卡-信息收集(2)

为了防御XSS攻击，网站开发者需要对用户输入的所有数据进行严格的过滤和转义，确保不会执行任何未经授权的脚本。这通常包括对特殊字符如<、>、&等进行编码，以及使用HTTP头部的Content-Security-Policy来限制可以加载的脚本来源。需要注意的是，XSS攻击有多种类型，包括反射型XSS、存储型XSS和DOM-based XSS等，每种类型都有其特点和防御策略。在XSS攻击中，攻击者会利用网站对用户输入内容过滤不严格的特点，注入恶意代码。，当用户浏览这些网页时，恶意脚本会在用户的浏览器中执行，

原创 泷羽sec-星光不负a-学习打卡-信息收集(1)

查看是否有cdn:win+r,cmd, nslookup 域名。它通过在现有的互联网架构上增加一层新的网络架构，将。如果有cdn,是无法确定哪个ip是真实ip的。，以提高访问速度和用户体验。

原创 泷羽sec-星光不负a-学习打卡-渗透测试导论

‌ 渗透测试旨在发现和评估系统中的安全漏洞，确保网络和系统的安全性。渗透测试能够独立地检查网络策略，帮助发现潜在的安全风险，协助警方反诈骗，进行安全维护。挖掘漏洞，不需要侵入网络。