- web简易开发(二){html5+php实现文件上传及通过关键字搜索已上传图片)} web简易开发(二){html5+php实现文件上传及通过关键字搜索已上传图片)}
- PHP常见伪协议php://filter是PHP中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释为:php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。php://data协议是PHP中的一种特殊协议,可以在包含函... PHP常见伪协议php://filter是PHP中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释为:php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。php://data协议是PHP中的一种特殊协议,可以在包含函...
- 深入了解SQL注入 什么是SQL注入?SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。(百度百科)SQL注入是Web安全常见的一种攻击手段,其主要存在于数据库中,用来窃取重要信... 深入了解SQL注入 什么是SQL注入?SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。(百度百科)SQL注入是Web安全常见的一种攻击手段,其主要存在于数据库中,用来窃取重要信...
- Misc 签到aW9kant6aDFmMHAzXzJfRndpfQ==根据base64编码特征,不难看出这是base64编码在Kali中进行base64解码iodj{zh1f0p3_2_Fwi}发现不是flag,根据以往做题经验,猜测是二次加密,再看这个格式像是凯撒移位根据凯撒移位规则,得出移位数为3,故key是3进行凯撒移位密码解密爆出flag:flag{we1c0m3_2_ctf} W... Misc 签到aW9kant6aDFmMHAzXzJfRndpfQ==根据base64编码特征,不难看出这是base64编码在Kali中进行base64解码iodj{zh1f0p3_2_Fwi}发现不是flag,根据以往做题经验,猜测是二次加密,再看这个格式像是凯撒移位根据凯撒移位规则,得出移位数为3,故key是3进行凯撒移位密码解密爆出flag:flag{we1c0m3_2_ctf} W...
- SHCTF(山河)赛事部分Write up-白猫 MISC [WEEK1]签到题下载题目并打开:base128编码:Wm14aFozdDBhR2x6WDJselgyWnNZV2Q5因为是base128编码,所以通过两次base64解码,即可得出flag爆出flag:flag{this_is_flag}**总结: **这道签到题主要考察了对base64编码的基础了解 [WEEK1]Stega... SHCTF(山河)赛事部分Write up-白猫 MISC [WEEK1]签到题下载题目并打开:base128编码:Wm14aFozdDBhR2x6WDJselgyWnNZV2Q5因为是base128编码,所以通过两次base64解码,即可得出flag爆出flag:flag{this_is_flag}**总结: **这道签到题主要考察了对base64编码的基础了解 [WEEK1]Stega...
- 2024全网最全面及最新且最为详细的网络安全技巧 (3-2) 之 linux提权各类技巧 上集之 passwd 文件提权 2024全网最全面及最新且最为详细的网络安全技巧 (3-2) 之 linux提权各类技巧 上集之 passwd 文件提权
- 2024全网最全面及最新且最为详细的网络安全技巧 (3-1) 之 linux提权各类技巧 之 CronJobs 提权 2024全网最全面及最新且最为详细的网络安全技巧 (3-1) 之 linux提权各类技巧 之 CronJobs 提权
- 一、描述日志脱敏指业务日志进行打印敏感信息时,进行敏感数据的过滤和替换,避免敏感信息的泄露。二、危害日志大多数用于问题定位、追溯,大部分情况下只允许运维人员查看,特殊情况下也会做成模块在页面中呈现,当然也会有对日志权限控制不足的情况,就会导致日志信息泄露,如果日志中存在明文敏感信息,则会导致系统的安全极具降低,系统的安全措施失效,被攻击者绕过。类似举例:一个锁匠,每天需要为很多人售卖高档的锁... 一、描述日志脱敏指业务日志进行打印敏感信息时,进行敏感数据的过滤和替换,避免敏感信息的泄露。二、危害日志大多数用于问题定位、追溯,大部分情况下只允许运维人员查看,特殊情况下也会做成模块在页面中呈现,当然也会有对日志权限控制不足的情况,就会导致日志信息泄露,如果日志中存在明文敏感信息,则会导致系统的安全极具降低,系统的安全措施失效,被攻击者绕过。类似举例:一个锁匠,每天需要为很多人售卖高档的锁...
- 一、描述不安全随机数也称伪随机数,指可被猜测的随机数,不具有随机性。举例:一副崭新的扑克牌,打开后进行任意洗牌,并按照洗好的顺序给每个人进行发牌,如果眼力和记忆力足够好,则理论上完全可以根据自己的牌,计算出其他人的牌。二、危害对于认证鉴权场景,重要的业务场景,加密数据场景等,如果使用了不安全随机数,则一切都将变得透明,可预测。则认证、加密等都将变得不可信。业务举例1:想象一下,你有一张礼品兑... 一、描述不安全随机数也称伪随机数,指可被猜测的随机数,不具有随机性。举例:一副崭新的扑克牌,打开后进行任意洗牌,并按照洗好的顺序给每个人进行发牌,如果眼力和记忆力足够好,则理论上完全可以根据自己的牌,计算出其他人的牌。二、危害对于认证鉴权场景,重要的业务场景,加密数据场景等,如果使用了不安全随机数,则一切都将变得透明,可预测。则认证、加密等都将变得不可信。业务举例1:想象一下,你有一张礼品兑...
- 24-9-24-web爆破-学习笔记 24-9-24-web爆破-学习笔记
- 今天偶然看到了一个关于ssrf的攻击介绍,同时也一直回答了我一直想要了解的一个问题,ssrf如何绕过域名的限制,所以做个记录。一、背景SSRF服务端请求伪造攻击。指的是通过服务器访问资源时,通过绕过资源的范围限制,达到通过服务器,任意访问其他资源的场景。 二、介绍以java举例,通过服务器发送请求// 一般来说url都会进行限制,例如限定某一条url,通过配置文件。 但是某些条件下,为了方... 今天偶然看到了一个关于ssrf的攻击介绍,同时也一直回答了我一直想要了解的一个问题,ssrf如何绕过域名的限制,所以做个记录。一、背景SSRF服务端请求伪造攻击。指的是通过服务器访问资源时,通过绕过资源的范围限制,达到通过服务器,任意访问其他资源的场景。 二、介绍以java举例,通过服务器发送请求// 一般来说url都会进行限制,例如限定某一条url,通过配置文件。 但是某些条件下,为了方...
- 本文档是Linux服务与安全管理课程的任务单,涉及Web服务器的安装与配置。任务涵盖从简单Web站点搭建到基于主机和用户认证的访问控制配置,包括用户个人主页、虚拟目录、基于IP的虚拟主机及域名访问设置。通过实践,学生掌握了Apache服务器的配置与管理技能,深入理解了Web服务的部署与安全控制,提升了Linux系统网络服务的综合应用能力。 本文档是Linux服务与安全管理课程的任务单,涉及Web服务器的安装与配置。任务涵盖从简单Web站点搭建到基于主机和用户认证的访问控制配置,包括用户个人主页、虚拟目录、基于IP的虚拟主机及域名访问设置。通过实践,学生掌握了Apache服务器的配置与管理技能,深入理解了Web服务的部署与安全控制,提升了Linux系统网络服务的综合应用能力。
- DVWA Weak Session IDs(弱会话)Low Level1、分析网页源代码<?php$html = "";if ($_SERVER['REQUEST_METHOD'] == "POST") {if (!isset ($_SESSION['last_session_id'])) {$_SESSION['last_session_id'] = 0;}$_SESSION['last_... DVWA Weak Session IDs(弱会话)Low Level1、分析网页源代码<?php$html = "";if ($_SERVER['REQUEST_METHOD'] == "POST") {if (!isset ($_SESSION['last_session_id'])) {$_SESSION['last_session_id'] = 0;}$_SESSION['last_...
- DVWA SQL Injection (Blind)Low0、分析网页源代码<?phpif( isset( $_GET[ 'Submit' ] ) ) {// Get input$id = $_GET[ 'id' ];// Check database$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'... DVWA SQL Injection (Blind)Low0、分析网页源代码<?phpif( isset( $_GET[ 'Submit' ] ) ) {// Get input$id = $_GET[ 'id' ];// Check database$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'...
- DVWA Reflected Cross Site Scripting (反射型 XSS)XSS跨站原理当应用程序发送给浏览器的页面中包含用户提交的数据,但没有经过适当验证或转义时,就会导致跨站脚本漏洞。这个“跨”实际上属于浏览器的特性,而不是缺陷;浏览器同源策略:只有发布Cookie的网站才能读取Cookie。会造成Cookie窃取、劫持用户Web行为、结合CSRF进行针对性攻击等危害反射... DVWA Reflected Cross Site Scripting (反射型 XSS)XSS跨站原理当应用程序发送给浏览器的页面中包含用户提交的数据,但没有经过适当验证或转义时,就会导致跨站脚本漏洞。这个“跨”实际上属于浏览器的特性,而不是缺陷;浏览器同源策略:只有发布Cookie的网站才能读取Cookie。会造成Cookie窃取、劫持用户Web行为、结合CSRF进行针对性攻击等危害反射...
上滑加载中
推荐直播
-
OpenHarmony应用开发之网络数据请求与数据解析2025/01/16 周四 19:00-20:30
华为开发者布道师、南京师范大学泰州学院副教授,硕士研究生导师,开放原子教育银牌认证讲师
科技浪潮中,鸿蒙生态强势崛起,OpenHarmony开启智能终端无限可能。当下,其原生应用开发适配潜力巨大,终端设备已广泛融入生活各场景,从家居到办公、穿戴至车载。 现在,机会敲门!我们的直播聚焦OpenHarmony关键的网络数据请求与解析,抛开晦涩理论,用真实案例带你掌握数据访问接口,轻松应对复杂网络请求、精准解析Json与Xml数据。参与直播,为开发鸿蒙App夯实基础,抢占科技新高地,别错过!
回顾中 -
Ascend C高层API设计原理与实现系列2025/01/17 周五 15:30-17:00
Ascend C 技术专家
以LayerNorm算子开发为例,讲解开箱即用的Ascend C高层API
回顾中
热门标签