08 2019 档案
远程文件包含
摘要:PHP的配置选项allow_url_include为ON的话,则include/require函数可以加载远程文件,这种漏洞被称为"远程文件包含漏洞(Remote File Inclusion RFI)"。 ( allow_url_fopen = On 是否允许打开远程文件 allow_url_in
阅读全文
sql注入基础
摘要:sql注入原理: 通过把SQL命令插入到Web表单或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 sql注入模型: 防止SQL注入: 严格的数据类型 特殊字符转义 使用预编译语句 框架技术 存储过程 在服务端要对所有的输入数据验证有效性。 在处理输入之前,验证所有客户端提
阅读全文
字符串和编码
摘要:字符编码: 字符串也是一种数据类型,但是,字符串比较特殊的是还有一个编码问题。 因为计算机只能处理数字,如果要处理文本,就必须先把文本转换为数字才能处理。最早的计算机在设计时采用8个比特(bit)作为一个字节(byte),所以,一个字节能表示的最大的整数就是255(二进制11111111=十进制 2
阅读全文
变量和常量
摘要:变量: 变量的概念基本上和初中代数的方程变量是一致的,只是在计算机程序中,变量不仅仅可以是数字,还可以是任意数据类型。 变量在程序中就是用一个变量名表示了,变量名必须是大小写英文、数字和_的组合,且不能用数字开头,比如: a=1 变量a是一个整数。 t_007='T007' 变量t_007是一个字符
阅读全文
数据类型
摘要:数据类型 计算机顾名思义就是可以做数学计算的机器,因此,计算机程序理所当然地可以处理各种数值。但是,计算机能处理的远不止数值,还可以处理文本、图形、音频、视频、网页等各种各样的数据,不同的数据,需要定义不同的数据类型。在Python中,能够直接处理的数据类型有以下几种: 整数: python可以处理
阅读全文
python基础
摘要:Python是一种计算机编程语言。计算机编程语言和我们日常使用的自然语言有所不同,最大的区别就是,自然语言在不同的语境下有不同的理解,而计算机要根据编程语言执行任务,就必须保证编程语言写出的程序决不能有歧义,所以,任何一种编程语言都有自己的一套语法,编译器或者解释器就是负责把符合语法的程序代码转换成
阅读全文
XSS漏洞基础
摘要:什么是XSS? XSS全程Cross-site scripting,跨站脚本攻击。恶意攻击者往Web页面里插入html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 XSS的危害: 盗取用户或者管理员的Cookie XSS Worm 挂马(水坑攻击)
阅读全文
各大漏洞平台及SRC的区别和如何批量刷漏洞
摘要:批量刷漏洞: 01刷指纹->02刷原始漏洞->03刷CMS->04刷指定政府、教育->05刷众测平台->06刷SRC->07刷国内外、活动 搜索引擎: 百度、google、搜狗、360搜索、必应、钟馗之眼、FOFA、SHODAN 漏洞平台: 补天、漏洞盒子、CNVD、教育行业漏洞报告平台 批量刷漏洞
阅读全文
浙公网安备 33010602011771号