_Whoami

摘要： 网站的搭建 服务器 容器 IIS Apache Nginx Tomcat 数据库 Access SQLserver（MSSQL） MYSQL Orcale 脚本 Asp Asp.NET PHP JSP 标配关系 企业网站的后台数据存储 IIS+ASP+Access 大型数据存储 IIS+ASP+SQ 阅读全文

摘要： 信息搜集（最主要的部分，没有之一，信息搜集的广度决定了攻击面） 站长之家 IP反查 DNS枚举 备案反查 C段 子域名 端口扫描 …… web漏洞（会绕过） SQL注入 XSS XXE 文件上传 文件包含 文件下载 文件泄露 越权 JSONP URL跳转 SSRF CSRF 逻辑漏洞 弱口令 未授权 阅读全文

摘要： ###什么是.htaccess 概述来说，htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。 启 阅读全文

摘要： . 阅读全文

摘要： url任意跳转漏洞 服务端未对传入的跳转url 变量进行检查和控制，可能导致构造任意一个恶意地址，诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的，用户会比较信任，所以跳转漏洞一般用于钓鱼攻击，通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息，或欺骗用户进行金钱交易；还可以造成xss 漏洞。 阅读全文

摘要： CSRF（Cross-site request forgery ）跨站请求伪造 条件 CSRF的攻击建立在浏览器与web服务器的会话中 直接的利用了用户浏览器保存的Cookie 让用户去执行某个动作 欺骗用户访问URL 让用户在同一浏览器中打开恶意URL，该网页会向用户登录的网站，发送请求，而服务器 阅读全文

摘要： ###基础介绍 作用：用来设定某种扩展名文件的打开方式 组成：由类型与子类型两个字符串中间用/分隔而组成。不允许空格存在 注意：MIME类型对大小写不敏感，但是传统写法都是小写。 类型 描述 例子 text 表明文件是普通文本，理论上是人类可读 text/plain（普通文本）, text/html 阅读全文

摘要： ###MySQL注入点写入webshell 条件 MySQL用secure_file_priv这个配置项来完成对数据导入导出的限制。 通过命令查看secure-file-priv的当前值，确认是否允许导入导出以及到处文件路径。 show variables like '%secure_file_pr 阅读全文

摘要： ###PHPStudy设置局域网访问 如何在局域网中访问网站 更改vhost.conf中的文件，才可以使得内网可以访问。 打开PHPStudy设置，通过“打开配置文件”，打开vhosts-ini.con这个文件，打开，找到如下代码： <VirtualHost *:80> DocumentRoot " 阅读全文

摘要： ###定义和用法 ng-include 指令用于包含外部的 HTML 文件。 包含的内容将作为指定元素的子节点。 ng-include 属性的值可以是一个表达式，返回一个文件名。 默认情况下，包含的文件需要包含在同一个域名下。 语法 <element ng-include="filename" on 阅读全文