摘要:
#作业质量分析 ##总体分析 本次作业的成绩分布如下,可以明显地看到及格率仅仅只有 53.3%,说明情况很不理想。对网络 2011 的男同学提出表扬,大作业的完成率较高,博客的内容总体较为丰富,能看出是认真写了代码并完成博客,同时也有几位同学做了拓展。 完成作业是态度问题,博客是平时分的重要来源,如 阅读全文
摘要:
#前期调研 ##QQ 邮箱 ###写信 打开普通邮件的编辑页面,该页面的布局较为简单,从该页面可以看出一封邮件需要提供收件人、邮件标题和正文 3 个基本的内容。 ###收\发件箱 打开 QQ 邮箱的收件箱查看某一篇邮件,页面上方显示了邮件标题、收件人、发件人和发件时间 4 个信息。中间是邮件的正文部 阅读全文
摘要:
#并发型服务器 博客展示的登录系统的服务器端,将实现重复型服务器。 ##Client–server model **客户端-服务器模型(Client–server model)**简称C/S结构,是一种网络架构。大部分网络应用程序在编写时都假设一端是客户,另一端是服务器,其目的是为了让服务器为客户提 阅读全文
摘要:
#动态规划法 动态规划法将待求解问题分解成若干个相互重叠的子问题,每个子问题对应决策过程的一个阶段,一般来说,子问题的重叠关系表现在对给定问题求解的递推关系称为动态规划函数中,将子问题的解求解一次并填入表中,当需要再次求解此子问题时,可以通过查表获得该子问题的解,从而避免了大量重复计算。具体的动态规 阅读全文
摘要:
#动态规划法 动态规划法将待求解问题分解成若干个相互重叠的子问题,每个子问题对应决策过程的一个阶段,一般来说,子问题的重叠关系表现在对给定问题求解的递推关系称为动态规划函数中,将子问题的解求解一次并填入表中,当需要再次求解此子问题时,可以通过查表获得该子问题的解,从而避免了大量重复计算。具体的动态规 阅读全文
摘要:
#DVWA 靶场 DVWA 靶场的网页应用程序很脆弱,它的主要目标是帮助安全专业人员在实际环境中测试他们的技能和工具,帮助 web 开发人员更好地理解保护 web 应用程序的过程,并帮助教师/学生在教室环境中教授/学习 web 应用程序安全。 Brute Force (爆破) Command Inj 阅读全文
摘要:
Less 50 ~ 53 和 Less 46 ~ 49 的注入方法完全一样,但是这 4 个 Less 可以进行堆叠注入。 #Less 50 ##判断注入类型 输入正常的参数,网页回显用户名列表。对 sort 参数使用单引号闭合,网页返回错误信息。 ?sort=1' 将后面的内容注释掉,网页返回错误的 阅读全文
摘要:
Less 46 ~ 49 的网页功能是返回一个列表,因此我们不能借助回显位置进行注入。此时可以根据是否返回报错信息,选择使用报错注入还是时间盲注。 #Less 46 ##判断注入类型 打开网页,这是个新的网页,尝试输入新的参数 sort,网页回显用户名列表。 ?sort=1 改变参数 sort 的值 阅读全文
摘要:
Less 42 ~ 45 是使用 POST 提交参数的登录界面,username 字段进行了参数过滤,但是 password 字段没有。此处可以在 password 字段使用万能密码直接夺取用户,也可以在该字段处使用堆叠注入。 #Less 42 ##判断注入类型 打开网页看到登录页面,该页面和 Le 阅读全文
摘要:
Less 38 ~ 41 虽然使用 Less 1 的方式注入即可注入成功,但是这 4 关存在堆叠注入漏洞。我们可以使用 “;” 闭合第一个 SQL 语句,然后在后面执行任意的 SQL 语句,通过这个漏洞我们可以对数据库执行任意的操作。 #Less 38 ##判断注入类型 输入正确的参数,网页回显正常 阅读全文