摘要： 一、substring与substr substring substr 概述 语法 参数 indexStart：一个 0 到字符串长度之间的整数 indexEnd：可选，一个 0 到字符串长度之间的整数 start：开始提取字符的位置，可为负值 length：可选。提取的字符数 1. indexSt 阅读全文

摘要： 一、界面操作劫持 1）ClickJacking ClickJacking点击劫持，这是一种视觉上的欺骗。 攻击者使用一个透明的、不可见的iframe，覆盖在网页的某个位置上，诱使用户点击iframe。 2）TapJacking 现在移动设备的使用率越来越高，针对移动设备的特点，衍生出了TapJack 阅读全文

摘要： CSRF（Cross Site Request Forgery）跨站点请求伪造。 CSRF的本质是当重要操作的参数都能被攻击者预测到，才能成功伪造请求。 一、场景演示 下图是一个伪造请求的场景，按顺序来看； 1、2是正常登陆并产生Cookie，3、4是在登陆后访问骇客的网站并发请求，5是服务器执行骇 阅读全文

摘要： 最近在研读《白帽子讲web安全》和《Web前端黑客技术揭秘》，为了加深印象，闲暇之时做了一些总结。 下面是书中出现的一些专有词汇： POC（Proof Of Concept）：观点验证程序，运行这个程序就可以得出预期的结果，也就验证了观点。 Payload：有效负载，在病毒代码中实现这个功能的部分。 阅读全文

摘要： 一、Date对象 下面出现的源码都可以codepen在线查看。 1）时间戳毫秒计算 Date对象是基于“1970-01-01 08:00:00”到指定日期的毫秒数，不是“00:00:00”。 一天由86,400,000毫秒组成。 通过上面的代码打印结果，可以看到是相对于8点的毫秒数。 PHP中的时间 阅读全文

摘要： 一、基本信息统计工具 1）捕获文件属性（Summary） 1. File：了解抓包文件的各种属性，例如抓包文件的名称、路径、文件所含数据包的规模等信息 2. Time：获悉抓包的开始、结束和持续时间 3. Capture：抓包文件由哪块网卡生成、OS版本、Wireshark版本等信息 4. Disp 阅读全文

摘要： 一、ARP协议 ARP（Address Resolution Protocol）地址解析协议，将IP地址解析成MAC地址。 IP地址在OSI模型第三层，MAC地址在OSI第二层，彼此不直接通信； 在通过以太网发生IP数据包时，先封装第三层（32位IP地址）和第二层（48位MAC地址）的报头； 但由于 阅读全文

摘要： 一、捕获过滤器 选中捕获选项后，就会弹出下面这个框，在红色输入框中就可以编写过滤规则。 1）捕获单个IP地址 2）捕获IP地址范围 3）捕获广播或多播地址 4）捕获MAC地址 5）捕获所有端口号 6）捕获特定ICMP数据 当网络中出现性能或安全问题时，将会看到ICMP（互联网控制消息协议）。 在这种 阅读全文

摘要： 一、数据包详细信息 Packet Details面板内容如下，主要用于分析封包的详细信息。 帧：物理层、链路层 包：网络层 段：传输层、应用层 1）Frame 物理层数据帧概况 2）Ethernet II 数据链路层以太网帧头部信息 3）Internet Protocol Version 4 互联网 阅读全文

摘要： 一、字符集 1）字符与字节（Character） 字符是各种文字和符号的总称，包括乱码；一个字符对应1~n个字节，一字节对应8位，每位用0或1表示。 2）字符集（Character Set） 字符集是多个字符的集合，每个字符集包含的字符个数不同，常见字符集名称：ASCII字符集、GB2312字符集、 阅读全文