03 2021 档案
摘要:简介 Nmap(Network Mapper)是一款开放源代码的网络探测和安全审核的工具。 Nmap以新颖的方式使用原始IP报文来发现网络上有一些主机,那些主机提供什么服务(应用程序名和版本),那些服务运行在什么操作系统(包括版本信息),它们使用什么类型的报文过滤器/防火墙,以及一堆其他功能。 参数
阅读全文
摘要:介绍 首先给出官网。 Scapy是用Python编写的交互式数据包处理工具。 使用Scapy可以伪造或解码各种协议的数据包,在线发送它们,捕获它们,匹配请求和答复等等。 下载 由于是Python编写的,使用pip install进行安装,这里使用清华源加速。 pip3 install scapy -
阅读全文
摘要:介绍 XTerm是一个X Window System上的终端模拟器,用来提供多个独立的SHELL输入输出。 XTerm使用虚拟终端技术将远程主机的终端模拟出来,实现了远程终端控制。 Iperf 是一个网络性能测试工具,可以测试最大TCP和UDP带宽性能,具有多种参数和UDP特性,可以根据需要调整,可
阅读全文
摘要:WarmUp 题目介绍 这道题来自BUUCTF,Web组的第一题。 设计的知识点包括: PHP代码审计 远程文件包含 题目代码 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page)
阅读全文
摘要:介绍 Docker Image(镜像)就是一个集装箱,可以看作是封装成了一个小型的操作系统。 Docker就是一个容器,Image可以在上面运行。 这样的机制使得,我们只要有Docker,就能够在不同系统运行Image。 Docker和虚拟机有很大的相似之处,不过Docker更轻量级,每次不会运行出
阅读全文
摘要:介绍 这学期的数据库课程要求使用PostgreSQL作为学习使用的数据库工具。 所以今天尝试着安装了一下PostgreSQL,出了一些问题,在此做一个记录。 环境 Windows Windows是首选,不论安装还是后期使用都方便许多。 PostgreSQL自带pgAdmin也省去了很多步骤。 这里参
阅读全文
摘要:漏洞介绍 CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,是一种区分用户是计算机和人的公共全自动程序。 使用CAPTCHA可以防止计算
阅读全文
摘要:漏洞介绍 跨站请求伪造,也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF。 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页
阅读全文
摘要:漏洞介绍 定义 XSS本名Cross-Site Scripting跨站脚本,是攻击者将恶意JavaScript脚本植入服务器而形成对访问者的攻击。 攻击流程 攻击者通过评论区一类的存储点,将写好的JavaScript脚本写入服务器。 服务器存储后,在用户访问页面时,携带恶意脚本返回给用户。 此时恶意
阅读全文
摘要:漏洞原理 当用户第一次访问服务程序时,服务器端会给用户创建一个独立的会话Session 并且生成一个SessionID。 SessionID在响应浏览器的时候会被加载到cookie中,并保存到浏览器中。 当用户再一次访问服务程序时,请求中会携带着cookie中的SessionID去访问服务器。 服务
阅读全文
摘要:Burp Suite模块介绍 Target 主要功能 显示信息。 默认记录爬虫所爬行的页面及每个页面的请求头以及相应信息。 使用流程 在Site map中,将目标站点发送到Scope。 使用Filter过滤。 任意的URL/HTTP请求都可以发送到其他模块。 Spider 主要功能 网络爬虫,枚举应
阅读全文
摘要:介绍 下学期计网可能要用到C,又不想用之前做算法题的编译器,因为CodeBlocks不好看,Visual Studio又太大了。 想用一下VSCode,不过我很久没有用过了,于是查了一下C项目的搭建,做一下笔记,以防找不到配置文件。 步骤 选定文件夹 在资源管理器中选择打开文件夹。 选好项目的文件路
阅读全文