摘要:
DVWA系列5:XSS 跨站脚本攻击之 存储型 前言 上一篇文章介绍了 XSS 中的 DOM 型 和 反射型,这两者都是不与目标网站的后台服务器交互的。而存储型是使用各种方法将攻击内容保存到了目标网站的后台服务器,任何看到的用户都会被攻击。往往发生于输入框,留言板等地方。 1. 攻击实操 (1)目标 阅读全文
摘要:
DVWA系列4:XSS 跨站脚本攻击之 DOM型 和 反射型 前言 跨站脚本攻击(即 Corss Site Script,为了不与 CSS 混淆被称为 XSS)是一种较为常见的攻击手段。主要分为三种类型:DOM 型,反射型,存储型。本文先主要介绍 DOM 型 和 反射型。 这两种都是完全发生在浏览器 阅读全文
摘要:
DVWA系列 - 额外内容1:同源策略与同站策略的简单理解 前言 在尝试 DVWA 的 CSRF 的部分时,偶然学习到了同站策略,感觉与同源策略很相似,因此再来整理下,作为对 DVWA系列3:CSRF 的一些补充。 同源策略 和 跨域 同源策略,即 Same origin policy,是一种约定, 阅读全文
摘要:
DVWA系列3:CSRF 前言 CSRF(Cross-site request forgery),即跨站请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 比如说,用户之前登录了网银网站A,又去访问了含有恶意内容的网站B。网站 B 的某些内容会请求网银网站 A 的内容 阅读全文
摘要:
DVWA系列2:SQL Injection 前言 SQL 注入是比较常见的攻击类型,之前一直听说过,也尝试看过一些教程,但其中的单引号,字符串拼接等感觉有点抽象,不知道为什么要这么做。这次就使用 DVWA 的环境来演练一下吧。 在这里我们的目标是获取所有的用户名和密码(虽然不是明文) 打开 SQL 阅读全文
摘要:
DVWA系列1:搭建 DVWA 环境 DVWA 是一个合法的漏洞测试、学习环境,先引用一段官方的介绍: Damn Vulnerable Web Application (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its 阅读全文
摘要:
MongoDB 单服务器创建用户并授权 前言 之前使用 MongoDB 时对于用户的认证和授权一直模模糊糊,各种教程看的半半拉拉,最后勉强能用。现在有时间了来总结一下。 基础 1. 常见的角色: read:允许用户读取指定数据库; readWrite:允许用户读写指定数据库; dbAdmin:允许用 阅读全文
摘要:
FTP 基础 与 使用 Docker 搭建 Vsftpd 的 FTP 服务 前言 最近的工作中,需要将手机上的文件发送到公司的 FTP 的服务器。按照从前的思路,自然是,先将文件传到电脑,再由电脑上传到 FTP 服务器上;经过一份搜索后找到了 质感文件 这个 Android 应用,这样就可以通过无线 阅读全文
摘要:
frp 用于内网穿透的基本配置和使用 今天是端午节,先祝端午安康! frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。 本文就以 配置 frp,使得可以从外网访问内网远 阅读全文
摘要:
CentOS7 服务器部署服务(nginx, Docker, MySQL, Joplin) 前言 最近腾讯云的服务器快到期了,又以学生身份续费 1 年。 最初是大四部署毕业设计时用的,当时用了“最好的语言”—— PHP写了后台、Java 写了 socket 通信的服务端。还记得当时由于 php7 出 阅读全文