2022年3月6日
横向越权和纵向越权(水平越权、垂直越权)
摘要: 越权:顾名思义,就是获得了本不应该有的权限。 我们都喜欢创造一些复杂的词汇,而实际上这些词就是一个代词,根本没有那么复杂。 越权漏洞... 阅读全文
posted @ 2022-03-06 10:37 叶常落 阅读(410) 评论(0) 推荐(0) 编辑
记录一次可能的order by注入
摘要: 这是我在mysql注入领域第一滴血的故事。 当然了,利用别人的缺点并不是一件光彩的事,不过感觉确实挺爽。 起因和过程 需求上有个根据... 阅读全文
posted @ 2022-03-06 10:37 叶常落 阅读(11) 评论(0) 推荐(0) 编辑
使用fiddler脚本修改x-frame-options
摘要: 之前的抓包工具一直在使用charles,对比Charles和fiddler,我觉得 Fiddler功能更加的强大,扩展能力更强,Ch... 阅读全文
posted @ 2022-03-06 10:37 叶常落 阅读(39) 评论(0) 推荐(0) 编辑
通过接口字段名称反向猜测数据库列名
摘要: 例如通过接口抓包看到如下的json字段userName 我们有理由相信这个字段在数据库中对应的列名是user_name 在通过inf... 阅读全文
posted @ 2022-03-06 10:37 叶常落 阅读(1) 评论(0) 推荐(0) 编辑
地表最强mysql命令行连接工具mycli
摘要: mycli我愿意称你为地表最强命令行mysql连接工具。 如果你的sql不是很熟练,那么你一定要找命令行工具来练习一下。等你的sql... 阅读全文
posted @ 2022-03-06 10:37 叶常落 阅读(54) 评论(0) 推荐(0) 编辑
windows下的终端工具和产品力
摘要: 终端工具产品力: 1.和linux、unix基本命令兼容 2.字体大小可以设置,最好按键+滚轮可以控制字体大小 1.0时期cmd时代... 阅读全文
posted @ 2022-03-06 10:37 叶常落 阅读(1) 评论(0) 推荐(0) 编辑
为什么md5是不安全的?
摘要: 正确的说法为:不正确的使用md5是不安全的。 cmd5这个网站,你可以把这个网站理解为一个超级大的彩虹表,你可以反向查找hash对应... 阅读全文
posted @ 2022-03-06 10:37 叶常落 阅读(76) 评论(0) 推荐(0) 编辑
2017年4月27日
javascript中的迷惑点
摘要: 比较的区别 !== == != 数据类型 js中的数组 var a = new Array(); var a = Array('a', 'b', 'c'); var a = ['a', 'b', 'c']; js中对象 对象由花括号分隔。在括号内部,对象的属性以名称和值对的形式 (name : va 阅读全文
posted @ 2017-04-27 20:39 叶常落 阅读(482) 评论(0) 推荐(0) 编辑
javascript中的undefined和null
摘要: 我对JS中的undefined 和null这个两个概念比较困惑。 var a; typeof a undefined 下面的这篇博文有助于我的理解 作者: 阮一峰 作者: 阮一峰 大多数计算机语言,有且仅有一个表示"无"的值,比如,C语言的NULL,Java语言的null,Python语言的None 阅读全文
posted @ 2017-04-27 19:25 叶常落 阅读(284) 评论(0) 推荐(0) 编辑
2017年4月4日
常见博客网站的robots.txt
摘要: 常见博客类网站robots.txt 因为网站有可能变动,所以这些robots.txt都是某一时刻的情况。 csdn http://www.csdn.net/robots.txt Sitemap: http://www.csdn.net/article/sitemap.txtDisallow:... 阅读全文
posted @ 2017-04-04 20:35 叶常落 阅读(734) 评论(0) 推荐(0) 编辑