01 2023 档案
DVWA靶场实战(十一)——XSS(Reflected)
摘要:
DVWA靶场实战(十一) 十一、XSS(Reflected): 1.漏洞原理: XSS被称为跨站脚本攻击(Cross Site Script),而Reflected被称作反射型XSS。不同于DOM和Stored,Reflected反射型无法存储。防御措施以及利用手法同DOM大同小异。 2.实战: (
DVWA靶场实战(十一) 十一、XSS(Reflected): 1.漏洞原理: XSS被称为跨站脚本攻击(Cross Site Script),而Reflected被称作反射型XSS。不同于DOM和Stored,Reflected反射型无法存储。防御措施以及利用手法同DOM大同小异。 2.实战: (
DVWA靶场实战(十)——XSS(DOM)
摘要:
DVWA靶场实战(十) 十、XSS(DOM): 1.漏洞原理: XSS全称为Cross Site Scripting,由于和层叠样式表(Cascading Style Sheets,CSS)重名,所以为了区别别叫做XSS。主要基于JavaScript语言进行恶意攻击,因为JS非常灵活操作html、c
DVWA靶场实战(十) 十、XSS(DOM): 1.漏洞原理: XSS全称为Cross Site Scripting,由于和层叠样式表(Cascading Style Sheets,CSS)重名,所以为了区别别叫做XSS。主要基于JavaScript语言进行恶意攻击,因为JS非常灵活操作html、c
区块链基础入门(一)
摘要:
区块链知识基础 1.区块链的定义: 区块链是一个集合了密码学、分布式储存、智能合约、共识算法等多种新型技术的数据传输方式。并对现有互联网进行升级和创新。 2.区块: 在数据上传过程中,数据会被打包到一起形成一个个数据块。而被打包好的数据块,也被称作“区块”。 3.链: 将“区块”打包好后,依照时间的
区块链知识基础 1.区块链的定义: 区块链是一个集合了密码学、分布式储存、智能合约、共识算法等多种新型技术的数据传输方式。并对现有互联网进行升级和创新。 2.区块: 在数据上传过程中,数据会被打包到一起形成一个个数据块。而被打包好的数据块,也被称作“区块”。 3.链: 将“区块”打包好后,依照时间的
DVWA靶场实战(九)——Weak Session IDS
摘要:
DVWA靶场实战(九) 九、Weak Session IDS: 1.漏洞原理: Weak Session IDS也叫做弱会话,当用户登录后,在服务器就会创造一个会话(session),叫做会话控制,接着访问页面的时候就不用登录,只需要携带Session去访问。 SessionID作为特定用户访问站站
DVWA靶场实战(九) 九、Weak Session IDS: 1.漏洞原理: Weak Session IDS也叫做弱会话,当用户登录后,在服务器就会创造一个会话(session),叫做会话控制,接着访问页面的时候就不用登录,只需要携带Session去访问。 SessionID作为特定用户访问站站
区块链特辑——solidity语言基础(七)
摘要:
Solidity语法基础学习 十、实战项目(二): 3.项目实操: ERC20 代币实战 ①转账篇 总发行量函数 totalSupply() return(uint256) ·回传代币的发行总量 ·使用状态变量uint256_totalSupply来储存 账户余额查询函数 Balance0f(add
Solidity语法基础学习 十、实战项目(二): 3.项目实操: ERC20 代币实战 ①转账篇 总发行量函数 totalSupply() return(uint256) ·回传代币的发行总量 ·使用状态变量uint256_totalSupply来储存 账户余额查询函数 Balance0f(add
区块链特辑——solidity语言基础(六)
摘要:
Solidity语法基础学习 十、实战项目(二): 1.实战准备: ERC20代币接口 ERC20 Token Interface接口 Interface IName {……} ·关键字:interface ·宣告一个接口,定义了需要满足的函数与事件 ·在界面中的限制: ·所有宣告的函数接口必须是“
Solidity语法基础学习 十、实战项目(二): 1.实战准备: ERC20代币接口 ERC20 Token Interface接口 Interface IName {……} ·关键字:interface ·宣告一个接口,定义了需要满足的函数与事件 ·在界面中的限制: ·所有宣告的函数接口必须是“
DVWA靶场实战(八)——SQL Injection(Blind)
摘要:
DVWA靶场实战(八) 八、SQL Injection(Blind): 1.漏洞原理: SQL Injection(Blind)全称为SQL注入之盲注,其实与正常的SQL大同小异,区别在于一般的注入攻击者可以直接从页面上获取执行结果,而盲注时攻击者通常是无法从显示页面上获取执行的结果,甚至可能连注入
DVWA靶场实战(八) 八、SQL Injection(Blind): 1.漏洞原理: SQL Injection(Blind)全称为SQL注入之盲注,其实与正常的SQL大同小异,区别在于一般的注入攻击者可以直接从页面上获取执行结果,而盲注时攻击者通常是无法从显示页面上获取执行的结果,甚至可能连注入
DVWA靶场实战(七)——SQL Injection
摘要:
DVWA靶场实战(七) 七、SQL Injection: 1.漏洞原理: SQL Inject中文叫做SQL注入,是发生在web端的安全漏洞,主要是实现非法操作,例如欺骗服务器执行非法查询,他的危害在于黑客会有恶意获取,甚至篡改数据库信息,绕过登录验证,原理是针对程序员编写数据库程序的疏忽,通过执行
DVWA靶场实战(七) 七、SQL Injection: 1.漏洞原理: SQL Inject中文叫做SQL注入,是发生在web端的安全漏洞,主要是实现非法操作,例如欺骗服务器执行非法查询,他的危害在于黑客会有恶意获取,甚至篡改数据库信息,绕过登录验证,原理是针对程序员编写数据库程序的疏忽,通过执行
区块链特辑——solidity语言基础(五)
摘要:
Solidity语法基础学习 九、实战项目(一): 学以致用 UP主捐款合约 ·合约要求: ·建立时,需将合约的建立者设定成owner(constructor,msg.sender) ·需记录每个观众的捐款总额(mapping) ·每次收到捐款时,需触发捐款事件:(event) ·列出捐款者、捐助金
Solidity语法基础学习 九、实战项目(一): 学以致用 UP主捐款合约 ·合约要求: ·建立时,需将合约的建立者设定成owner(constructor,msg.sender) ·需记录每个观众的捐款总额(mapping) ·每次收到捐款时,需触发捐款事件:(event) ·列出捐款者、捐助金
DVWA靶场实战(六)——Insecure CAPTCHA
摘要:
DVWA靶场实战(六) 六、Insecure CAPTCHA: 1.漏洞原理: Insecure CAPTCHA(不安全的验证码),CAPTCHA全程为Completely Automated Public Turing Test to Tell Computers and Humans Apart
DVWA靶场实战(六) 六、Insecure CAPTCHA: 1.漏洞原理: Insecure CAPTCHA(不安全的验证码),CAPTCHA全程为Completely Automated Public Turing Test to Tell Computers and Humans Apart
区块链特辑——solidity语言基础(四)
摘要:
Solidity语法基础学习 七、事件: 事件 Event ·日志(log),是用来快速索引并查询过往资料的手段。 ·而solidity是透过“事件”在区块链上写下日志,使用者或由触发的事件所产生的日志,会被写在“执行该交易的区块中”,现在是永久存储。 Indexed & Non-Indexed ·
Solidity语法基础学习 七、事件: 事件 Event ·日志(log),是用来快速索引并查询过往资料的手段。 ·而solidity是透过“事件”在区块链上写下日志,使用者或由触发的事件所产生的日志,会被写在“执行该交易的区块中”,现在是永久存储。 Indexed & Non-Indexed ·
区块链特辑——solidity语言基础(二)
摘要:
Solidity语法基础学习 四、函数类型: 函数 Function function FnName [V] [SM] [return (……)] {} ·[V]:Visibility,可见性; ·[SM]:State Mutability,状态可变性; ·[returns (types……)]:回
Solidity语法基础学习 四、函数类型: 函数 Function function FnName [V] [SM] [return (……)] {} ·[V]:Visibility,可见性; ·[SM]:State Mutability,状态可变性; ·[returns (types……)]:回
区块链特辑——solidity语言基础(一)
摘要:
Solidity语法基础学习 一、智能合约的结构: 首先以上是智能合约的结构,包含版权宣告、编译指示、Using for 宣告、错误定义、输入、列举与枚举、常数、合约、函数、注释。第一个注释不同于其他的注释,第一个注释表示为版本宣告,这句话是告诉合约是根据什么版本授权的,SPDX全称为:The So
Solidity语法基础学习 一、智能合约的结构: 首先以上是智能合约的结构,包含版权宣告、编译指示、Using for 宣告、错误定义、输入、列举与枚举、常数、合约、函数、注释。第一个注释不同于其他的注释,第一个注释表示为版本宣告,这句话是告诉合约是根据什么版本授权的,SPDX全称为:The So
区块链特辑——solidity语言基础(三)
摘要:
Solidity语法基础学习 五、映射类型: 映射型态 Mapping Type 映射钥匙Key → 真实资料 Value mapping(KeyType → ValueType) VariableName ·关键字:mapping ·宣告一个映射,后面需定义钥匙(Key)与资料(Value)的型态
Solidity语法基础学习 五、映射类型: 映射型态 Mapping Type 映射钥匙Key → 真实资料 Value mapping(KeyType → ValueType) VariableName ·关键字:mapping ·宣告一个映射,后面需定义钥匙(Key)与资料(Value)的型态
DVWA靶场实战(五)——File Upload
摘要:
DVWA靶场实战(五) 五、File Upload: 1.漏洞原理: File Upload中文名叫做文件上传,文件上传漏洞是指用户上传了一个可执行脚本文件(php、jsp、xml、cer等文件),而WEB系统没有进行检测或逻辑做的不够安全。但文件上传功能本身没有问题,问题在于上传后如何处理以及解析
DVWA靶场实战(五) 五、File Upload: 1.漏洞原理: File Upload中文名叫做文件上传,文件上传漏洞是指用户上传了一个可执行脚本文件(php、jsp、xml、cer等文件),而WEB系统没有进行检测或逻辑做的不够安全。但文件上传功能本身没有问题,问题在于上传后如何处理以及解析
MSIC总结取证分析——日志分析
摘要:
MSIC总结取证分析 一、日志分析: 1.常见日志分析类型: 2.常见一些考点: (1)还原特定IP攻击手段(SQL注入、暴力破解、命令执行等),或还原最初攻击时间; (2)寻找flag或者特定文件解密需要的Key; (3)寻找getshell的后门文件的密码,可能需要解密; (4)分析寻找提示点或
MSIC总结取证分析 一、日志分析: 1.常见日志分析类型: 2.常见一些考点: (1)还原特定IP攻击手段(SQL注入、暴力破解、命令执行等),或还原最初攻击时间; (2)寻找flag或者特定文件解密需要的Key; (3)寻找getshell的后门文件的密码,可能需要解密; (4)分析寻找提示点或
DVWA靶场实战(四)——File Inclusion
摘要:
DVWA靶场实战(四) 四、File Inclusion: 1.漏洞原理: 随着网站的业务的需求,程序开发人员一般希望代码更加灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就
DVWA靶场实战(四) 四、File Inclusion: 1.漏洞原理: 随着网站的业务的需求,程序开发人员一般希望代码更加灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就
DVWA靶场实战(三)——CSRF
摘要:
DVWA靶场实战(三) 三、CSRF: 1.漏洞原理: CSRF(Cross-site request forgery),中文名叫做“跨站请求伪造”,也被称作“one click attack/session riding”,缩写为“CSRF/XSRF”。在场景中,攻击者会伪造一个请求(通常是一个链
DVWA靶场实战(三) 三、CSRF: 1.漏洞原理: CSRF(Cross-site request forgery),中文名叫做“跨站请求伪造”,也被称作“one click attack/session riding”,缩写为“CSRF/XSRF”。在场景中,攻击者会伪造一个请求(通常是一个链
DVWA靶场实战(二)——Command Injection
摘要:
DVWA靶场实战(二) 二、Command Injection: 1.漏洞介绍: Command Injection,中文叫做命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序常见的脚本漏洞之一。 2.漏洞成因: (1)外部参数可
DVWA靶场实战(二) 二、Command Injection: 1.漏洞介绍: Command Injection,中文叫做命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序常见的脚本漏洞之一。 2.漏洞成因: (1)外部参数可
