摘要:
存储型和反射型的XSS差不多但是时间更持久,可以在后台存储起来,危害更大。 存储型XSS 1.打开pikachu平台我们可以看到有一个留言板页面,我们试着留一个言看一下,发现会被存储起来。其实我们生活当中也有许多这样的事情,比如说有人的qq号被盗号之后在好友的空间里进行恶意留言,点进去就容易丢失某些 阅读全文
摘要:
XSS漏洞是危害比较大的一个漏洞了,主要危害的是前端用户。XSS漏洞可以用来进行钓鱼攻击,前端JS挖矿,用户cookie获取。甚至可以结合浏览器自身的漏洞对用户主机进行远程控制。 这是我从B站学习视频上截取到的攻击过程的图片觉得比较生动形象。 我们需要了解XSS的三种基本类型 反射型XSS:<非持久 阅读全文
摘要:
如何防范暴力破解? 1.设计安全的验证码(安全的流程+复杂可用的图形) 2.认证错误对提交次数给予限制,比如错误三次不可再登录2小时。 3.有些情况可以使用双因素认证。 Token 防爆破(其实没有用) 首先我们看到这个关卡里面没有验证码。我们使用火狐浏览器的插件查看器查看一下源码。我们可以看到源码 阅读全文
摘要:
首先了解一下验证码的认证流程 1.客户端request登录页面,然后后台生成验证码(后台使用算法生成图片,并将图片response给客户端,同时将算法生成的值全局赋值存到session中) 2.校验验证码(客户端将认证信息和验证码一起提交,后台将提交的验证码与session中的作比较) 3.客户端重 阅读全文
摘要:
初学安全,对我这种网络小白来说,我感觉暴力破解就是猜别人的用户名密码那种感觉。 暴力破解就是:连续性尝试+字典+自动化。 在暴力破解中字典真的是非常关键的因素,所以有效的字典可以提高暴力破解的效率。 一般有效的字典有 1.常用的账号密码。 2.互联网上被脱裤后的账号密码。 3.指定的字符工具按照指定 阅读全文
摘要:
学习安全的小伙伴们会发现Burp Suite真的是一个神仙软件。下面我们来看一下如何得到破解版的Burp Suite。 下面分享一下我的网盘里面的文件去下载一下。 链接:https://pan.baidu.com/s/1Gcu_iceaR7WXe-c9uRBU7w 提取码:k8qp 下载下来以后先解 阅读全文
摘要:
首先介绍几个mysql的基本语句,在闯关的时候可以用到 1.查库语句 select schema_name from information_schema.schemata 2.查表语句 select table_name from information_schema.tables where t 阅读全文
摘要:
第一开始我将环境搭建在了自己的Windows系统上但是看见许多大佬还有自己老师都建议安装在虚拟机上比较好,所以我又重新在虚拟机上安装了一遍。 首先我们先需要拥有一个Windows10或Windows7的虚拟机。 如果需要Windows镜像给大家推荐一个网站,超级好用,我一般资源都在上面找。 http 阅读全文
摘要:
最新我们新开了iOS开发这门课程但是电脑是Windows系统,所以只能在虚拟机上安装一个苹果系统的电脑来支持xcode11编写代码程序。 下面就是具体安装步骤和一些下载资源。 首先我们要知道最新版本的Xcode 11支持的是15.5以上的虚拟机以及10.15以上的苹果系统,如果这两样你没有拥有那就无 阅读全文
摘要:
实验要求 实验拓扑 实验分析 实验步骤 在相关设备上设置好基础配置,完成相应的IP地址配置以后。在相应路由器上配置OSPF。 R1 R2 R3 IT 创建ACL,满足相关实验要求。 首先配置财务部交换机R3。 再配置财务部的交换机R2。 最后在交换机R1上配置IT部门。 配置完成后测试看是否满足题目 阅读全文