摘要:
文件包含 包括本地文件包含LFI和远程文件包含RFI两种形式。 利用方法: php伪协议: File:// 访问本地文件系统 http:// 访问HTTPs网址 ftp:// 访问ftp URL Php:// 访问输入输出流 Zlib:// 压缩流 Data:// 数据 Ssh2:// securi 阅读全文
摘要:
XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 XSS 的本质是:恶意代码未经过滤 阅读全文
摘要:
文件上传 文件上传漏洞是指攻击者上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务端命令的能力。场景中上传附件、头像等功能,若在系统设计中忽略了相关的安全检查,则容易导致文件上传漏洞。 网站文件常见的后缀名: asp、asa、cdx、cer、php、aspx、ashx、php3、php.a、 阅读全文
摘要:
.htaccess 定义: htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。 .htaccess主要的作用有:URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目 阅读全文
摘要:
CDN绕过 Content Delivery Network,即内容分发网络。 一. CDN的工作原理 传统的浏览器访问网站应步骤: 1. 在浏览器输入网址 2. 浏览器请求dns服务器,查询到对应的IP 3. 浏览器向服务器发起TCP连接 4. 浏览器通过建立的TCP连接发送HTTP协议报文 5. 阅读全文
摘要:
数据包 1、https&http HTTPS协议需要到CA申请证书,一般免费证书很少,需要交费。 HTTP协议运行在TCP之上,所有传输的内容都是明文,HTTPS运行在SSL/TLS之上,SSL/TLS运行在TCP之上,所有传输的内容都经过加密的。 HTTP和HTTPS使用的是完全不同的连接方式,用 阅读全文
摘要:
SSH SSH(Secure Shell,安全外壳)是一种网络安全协议,通过加密和认证机制实现安全的访问和文件传输等业务。传统远程登录和文件传输方式。Telnet、FTP,使用明文传输数据 在未建立SSH连接时,SSH服务器会在指定端口侦听连接请求,SSH客户端向SSH服务器该指定端口发起连接请求后 阅读全文
摘要:
ZIP伪加密解析 1、zip组成 一个 ZIP 文件由三个部分组成:压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志。 一个zip文件由这样三个部分组成_zip 文件结构_一只独孤的程序猿的博客-CSDN博客 2、实例 压缩源文件数据区: 50 4B 03 04:这是头文件标记(0x040 阅读全文
摘要:
NTLM SSPI 和 SSP SSPI SSPI(Security Support Provider Interface),即 安全服务提供接口,这是 Windows 定义的一套接口,该接口定义了与安全有关的功能函数,包含但不限于: 身份验证机制 信息完整性 为其他协议提供的会话安全机制 SSP 阅读全文
摘要:
编码 ASCII Amerrican Strandard Code for Information Interchange:美国信息交换标准代码,包括英文、符号等。 基本的 ASCII 字符集共有 128 个字符,其中有 96 个可打印字符,包括常用的字母、数字、标点符号等, 标准ASCII使用1个 阅读全文