loay

摘要： 方法 `是1左边的符号 访客所见效果 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="vi 阅读全文

摘要： jQuery重点讲解知识点 * 一 选择器 1 基础选择器 类选择器 元素选择器 ID选择器 子元素选择器 后代元素选择器 2 属性选择器 完美匹配 包含 前缀 开头 结尾 空格 3 jQuery扩展选择器 eq even odd first last gt lt 二 DOM操作 1 Class操作 阅读全文

摘要： sql注入测试规范 注入漏洞，只要证明可以读取数据就行，严禁读取表内数据。对于UPDATE、DELETE、 INSERT 等注入类型，不允许使用自动化工具进行测试。 SRC行业安全测试规范 https://security.tencent.com/announcement/msg/180 sql注入 阅读全文

摘要： 利用证书透明度收集子域名 什么是证书透明度？ 在某些情况下，人为错误或假冒行为可能会导致误发证书。证书透明度 (CT) 改变了 签发流程，新流程规定：证书必须记录到可公开验证、不可篡改且只能附加内容的日 志中，用户的网络浏览器才会将其视为有效。通过要求将证书记录到这些公开的 CT 日志中，任何感兴趣 阅读全文

摘要： CSRF漏洞 简介 跨站请求伪造 （也称为 CSRF）是一种 Web 安全漏洞，允许攻击者诱导用户执行他们不打算执行的操 作。它允许攻击者部分规避同源策略，该策略旨在防止不同网站相互干扰。 其中Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法用 阅读全文

摘要： SSRF && XXE && 远程代码执行 && 反序列 化漏洞 SSRF原理及漏洞演示 漏洞简介 SSRF(Server-Side Request Forgery：服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的 一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。 阅读全文

摘要： XSS漏洞攻防 XSS基本概念 跨站脚本攻击XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混 淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意JavaScript代码，当用户浏览该页 面时，嵌入 阅读全文

摘要： 文件上传及验证绕过 文件上传常见点 上传头像 上传相册 上传附件 添加文章图片 前台留言资料上传 编辑器文件上传 ...... 客户端—JS绕过 docker pull cuer/upload-labs docker run -d -p 8082:80 cuer/upload-labs 43.136 阅读全文

摘要： 文件包含漏洞 概述 分类 本地文件包含 只能包含本地服务器上存在的文件。 ​ 用户对输入可控且无过滤 ​ 可以利用相对路径或绝对路径读取系统敏感文件 远程文件包含 包含远程服务器上的文件。 需要php.ini开启了allow_url_fopen和allow_url_include的配置。包含的文件是 阅读全文

摘要： 联合注入 1' order by 1# 1' order by 2# 1' order by 3# 确定查询的列数 1' union select 1,2# 确定显示位 1' union select database() ,version()# 爆出数据库名和版本信息 1' union selec 阅读全文

摘要： SQLmap使用 只对sql注入进行测试 参数详解 Target：目标 -u sqlmap.py -u "http://43.136.41.84:8080/vulnerabilities/sqli/?id=1&Submit=Submit" -p id --cookie "PHPSESSID=csc6 阅读全文

摘要： gittest 初始化版本，配置签名 wm@xiaowan MINGW64 /d/git/gittest $ git init Initialized empty Git repository in D:/git/gittest/.git/ wm@xiaowan MINGW64 /d/git/git 阅读全文