摘要:
结合DVWA(Damn Vulberable Web Application)提供的各种漏洞环境,对各类漏洞进行一下攻击,并且记录一下怎么防范,其实在DVWA各个漏洞安全级别的不断提升过程中,已经告诉我们一些防范各类漏洞的防范技巧,只要我们从源码中分析,就可以得到我们想要的答案。模块其中主要包括:Brute Force(暴力破解)、Command Injection(命令注入)、CSRF(Cross-site request forgery)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA(不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。 阅读全文
摘要:
通过这个题来记录几个绕过技巧 题目链接:https://buuoj.cn/challenges#[ZJCTF%202019]NiZhuanSiWei 相关知识点: data协议写入文件 php协议读取源码 php序列化 Data URI Data URI scheme 简称 Data URI,经常会 阅读全文
摘要:
文件上传漏洞 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的 阅读全文
摘要:
引言 记录一下XXE的学习要点。 XXE XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞。 所以在学***E漏洞之前需要先了解一下 阅读全文
摘要:
Java反射机制 Java反射(Reflection)是Java非常重要的动态特性,通过使用反射我们不仅可以获取到任何类的成员方法(Methods)、成员变量(Fields)、构造方法(Constructors)等信息,还可以动态创建Java类实例、调用任意的类方法、修改任意的类成员变量值等。Jav 阅读全文
摘要:
记录一下报错注入的几个函数和用法 报错注入常用的函数 函数 描述 extractvalue 使用XPath表示法从XML字符串中提取值 updatexml 返回替换的XML片段 extractvalue函数 ExtractValue(xml_frag, xpath_expr) ExtractValu 阅读全文
摘要:
1.什么是序列化和反序列化? PHP的序列化就是将各种类型的数据对象转换成一定的格式存储,其目的是为了将一个对象通过可保存的字节方式存储起来这样就可以将学列化字节存储到数据库或者文本当中,当需要的时候再通过反序列化获取。 serialize() //实现变量的序列化,返回结果为字符串 unseria 阅读全文
摘要:
引言 程序计数器 程序计数器(Program Counter Register,寄存器),Java源代码运行的第一步就是将源码编译成JVM指令,每一条指令都有对应的执行地址,JVM通过程序计数器来记住每条指令的下一个执行地址,这样就实现的程序代码的执行。 作用:是记住下一条jvm指令的执行地址 特点 阅读全文
摘要:
最近在研究协议状态机,之前并没有接触过,写这篇文章记录一下协议状态机的要点。如果有什么错误的地方,还请各位大佬指正。 定义 有限状态机(finite-state machine,缩写FSM),又叫有限状态机自动机,简称状态机。是能够表示有限个状态以及这些状态之间的转移和动作等行为的数学模型。在计算机 阅读全文