- 博客(6)
- 收藏
- 关注
RSS订阅原创 XXE——理论与实例
XXE(xml外部实体注入漏洞)1、原理: XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。(XXE漏洞触发的点一般是可以上传xml文件的位置) 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。以PHP为例,在PHP里面
2020-10-13 22:45:14
580
原创 应急一些小技巧(持续更新)
(目前经验较少,基本都是与windows相关,写的也比较乱。之后慢慢补充) 勒索病毒事件排查顺序 勒索病毒处置时,先确定文件最早加密时间点(everything),再去基于这个时间点分析日志行为和可疑文件。 定位调用dll文件的进程 有时候在使用edr查杀到恶意的动态链接库文件,删除时显示文件被占用。此时需要查询哪些程序在调用它,方法:<1>使用taskllist /m xxx.dll命令;<2>任务管理器-性能-打开资源监视器-CPU处可以搜索关联句柄;
2020-10-13 21:18:26
516
原创 SQLMAP工具详解
sqlmap支持的注入模式: 基于布尔的盲注:根据返回的页面内容为条件判断真假的注入; 基于时间的盲注:不能根据页面返回内容判断任何信息。用条件语句加入延时函数,通过页面的返回时间来判断; 基于报错注入:利用页面会返回错误信息; 联合查询注入:可以使用union的情况下的注入; 堆查询注入:可以同时执行多条语句的注入。支持的数据库:多种…选项1、输出等级 -v:观察sqlmap对一个点进行了怎样的常识判断以及读取数据,默认是1 0(只显示python错误以及严重的信息
2020-10-13 21:10:24
1998
原创 用C语言查找数组中任意数字出现次数
给定一个数组a,想要查找数组中各元素出现次数,实现的思想类似于桶排序思想。!前提:要知道所给数组中的最大值 max 申请一个数组 b,数组长度为 max ,将数组中所有元素置0int b[max+1] = {0}; 遍历原数组 a ,每次循环都将 数组b中下标为a[i]的元素加1for(int i = 0; i 若想查找数组中某元素出现次数:
2017-11-11 22:21:11
13169
1
原创 C语言实现约瑟夫环
伪链表实现 1 2 3 4 5 6 7 8 91011 0 0 1 2 3 4 5 6 7 8 9 10 11 数组下标伪链表本质是数组,用其下标表示每个人的序号,每个数组元素中存的是下一个人的下标(序号)代码如下://默认从1开始
2017-11-05 13:49:56
3401
原创 (简单)宏定义 与 用户自定义类型typedef
宏定义(宏替换)用户自定义类型 typedef用户自定义类型typedef 延伸#define语句 和 typedef语句
2017-10-09 21:28:17
292
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人