Python
Java
PHP
IOS
Android
Nodejs
JavaScript
Html5
Windows
Ubuntu
Linux
XSS大全
XSS的原理和特性 xss 将用户的输入当作前端代码执行 注入攻击的本质 是把用户输入的数据当做代码执行 这里有两个关键条件 第一个是用户能够控制输入 第二个是原本程序要执行的代码 拼接了用户输入的数据 html 定义了网页的结构 css
小白入坑
笔记
Xss
前端
web安全
XXE漏洞
何为XXE 简单来说 XXE就是XML外部实体注入 当允许引用外部实体时 通过构造恶意内容 就可能导致任意文件读取 系统命令执行 内网端口探测 攻击内网网站等危害 典型攻击手法 XML又是什么呢 XML用于标记电子文件使其具有结构性的标记语
网络基础
小白入坑
笔记
xml
JSP webshell免杀——JSP的基础
唉 每次开启JSP都要好一会儿 话说我也不知道为啥 我的每次开启条件一次比一次苛刻 一开始必应就可以打开 再后来只能由谷歌打开 现在可好了得开着代理用谷歌才能进去 一个JSP页面可由5种元素组合而成 1 普通的HTML标记和JavaScri
小白入坑
jsp
前端
html
PHP反序列化漏洞——云演
昨天搞了搞掌控的反序列化 突然想到当时打CTF时老师给我们冲了个云演的靶场 就去看了看 也有反序列化漏洞 顺手搞搞加深一下印象 第一题 点进去后是这样的 还记得昨天的 php中有一类特殊的方法叫 Magic function 魔术方法 这里
网络基础
小白入坑
笔记
php
安全
PHP表单的创建和使用
用户注册
小白入坑
php
开发语言
后端
SSRF——服务端请求伪造
什么是SSRF 服务器端请求伪造 SSRF 是指攻击者能够从易受攻击的Web应用程序发送精心设计的请求的对其他网站进行攻击 利用一个可发起网络请求的服务当作跳板来攻击其他服务 ssrf有什么作用 一般用于探测内网端口及信息 查看文件 甚至可
网络基础
小白入坑
笔记
安全
服务器
Oracle注入——报错注入
什么是Oracle数据库 Oracle 数据库系统 是美国ORACLE公司 甲骨文 提供的以分布式数据库为核心的一组软件产品 Oracle数据库也是一种关系数据库 此数据库体量较大 一般与jsp网站联合 Oracle 系统表 Oracle中
小白入坑
笔记
Oracle
数据库
dBA
delete与注入逻辑
即使百般不顺仍期望万事顺意 Mysql注入 Delete基本使用 DELETE关联删除 注入删除 Delete基本使用 1 删除指定的用户 DELETE FROM users where uname hxt 2 删除所有记录 DELETE
小白入坑
渗透基础
mysql
数据库
CSRF - 跨站请求伪造
什么是CSRF CSRF Cross site request forgery 跨站请求伪造 也被称为 One Click Attack 或者Session Riding 通常缩写为CSRF或者XSRF 是一种对网站的恶意利用 尽管听起来像
小白入坑
笔记
CSRF
前端
http
Tomcat——从无知到崩溃
老师给的完整的百度链接在这里 要用就拿去 链接 https pan baidu com s 1PmpJ1ZON3rSETTYuWFdNBw 提取码 br36 来自百度网盘超级会员V3的分享 首先安装Java的JDK环境 问题也大多数出在这里
小白入坑
网络基础
tomcat
Java
Mssql注入——dns注入,反弹注入
DNS注入 DNS注入原理 通过子查询 将内容拼接到域名内 让load file 去访问共享文件 访问的域名被记录此时变为显错注入 将盲注变显错注入 读取远程共享文件 通过拼接出函数做查询 拼接到域名中 访问时将访问服务器 记录后查看日志
小白入坑
笔记
mysql
服务器
数据库
HTTP报头
HTTP协议是什么 HTTP协议 HyperText Transfer Protocol 超文本传输协议 是用于从WWW服务器传输超文本到本地浏览器的传送协议 它可以使浏览器更加高效 使网络传输减少 它不仅保证计算机正确快速地传输超文本文档
小白入坑
笔记
网络安全
Windows
http
靶场复现————平行越权、垂直越权
知识学习 不能上升到现实 确对不能 什么是越权 越权漏洞的概念 越权漏洞是一种很常见的逻辑安全漏洞 是由于服务器端对客户提出的数据操作请求过分信任 忽略了对该用户操作权限的判定 导致修改相关参数就可以拥有了其他账户的增 删 查 改功能 从而
安全
靶场
小白入坑
MYSQL注入 基础篇1.0
就算命运不公 重重阻碍 但我在哪里跌倒就一定会在哪里爬起来 只要坚持不懈 那些嘲笑我的人迟早会被我笑死 SQL注入了解 SQL注入是什么 正常的Web端口访问 SQL注入是如何访问 为什么要深入了解SQL注入 SQL注入漏洞的根本原因 SQ
小白入坑
渗透基础
mysql
安全
Access数据库注入详解
一个人再冷酷无情 他曾经都单纯过 能有这样的结果 都是被逼的 渗透入坑学废集 前言 注入漏洞分析 网站分类 常见数据库 网站访问模型 漏洞成因 注入漏洞是怎么样形成的 常见的注入流程 注入危害 ACCESS数据库注入详解 ACCESS数据库
网络基础
小白入坑
渗透基础
数据库
Access
渗透学习 信息收集
人生在世三万天 有酒有肉小神仙 小白入坑学废集6 基本信息收集 信息收集 域名信息 敏感目录 端口扫描 旁站C段 整站分析 谷歌hacker URL采集 后台查找 CDN绕过方法 就算我不成器 你又是个什么东西 基本信息收集 信息收集 域名
网络基础
小白入坑
渗透基础
信息安全
收集器
IS-IS协议 HCIP
我需要 最狂的风 和最静的海 HCIP IS IS协议基本原理 场景应用 历史起源 路由计算过程 地址结构 路由器分类 邻居HELLO报文 邻居关系建立 DIS及DIS与DR的类比 链路状态信息的载体 链路状态信息的交互 路由算法 网络分层
小白入坑
网络基础
路由器
网络
反序列化漏洞
什么是序列化 序列化 serialize 是将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间 对象将其当前状态写入到临时或持久性存储区 以后 可以通过从存储区中读取或反序列化对象的状态 重新创建该对象 将状态信息保存为字符串
网络基础
笔记
小白入坑
php
开发语言
逆向工程核心原理——DLL注入——创建远程线程
什么是DLL注入 dll注入是一种将Windows动态链接库注入到目标进程中的技术 具体的说 就是将dll文件加载到一个进程的虚拟地址空间中 对某个进程进行dll注入 也就意味着dll模块与该进程共用一个进程空间 则这个dll文件就有了操纵
逆向
笔记
小白入坑
Windows
网络安全
逆向工程核心原理——PE文件格式分析
什么是PE文件 PE文件的全称是Portable Executable 意为可移植的可执行的文件 PE文件是指32位可执行文件 也称为PE32 64位的可执行文件称为PE 或PE32 是PE PE32 的一种扩展形式 请注意不是PE64 常
小白入坑
逆向
visual studio
IDE
VisualStudio
1
2
»