- web简易开发(二){html5+php实现文件上传及通过关键字搜索已上传图片)} web简易开发(二){html5+php实现文件上传及通过关键字搜索已上传图片)}
- PHP常见伪协议php://filter是PHP中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释为:php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。php://data协议是PHP中的一种特殊协议,可以在包含函... PHP常见伪协议php://filter是PHP中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释为:php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。php://data协议是PHP中的一种特殊协议,可以在包含函...
- 深入了解SQL注入 什么是SQL注入?SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。(百度百科)SQL注入是Web安全常见的一种攻击手段,其主要存在于数据库中,用来窃取重要信... 深入了解SQL注入 什么是SQL注入?SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。(百度百科)SQL注入是Web安全常见的一种攻击手段,其主要存在于数据库中,用来窃取重要信...
- Misc 签到aW9kant6aDFmMHAzXzJfRndpfQ==根据base64编码特征,不难看出这是base64编码在Kali中进行base64解码iodj{zh1f0p3_2_Fwi}发现不是flag,根据以往做题经验,猜测是二次加密,再看这个格式像是凯撒移位根据凯撒移位规则,得出移位数为3,故key是3进行凯撒移位密码解密爆出flag:flag{we1c0m3_2_ctf} W... Misc 签到aW9kant6aDFmMHAzXzJfRndpfQ==根据base64编码特征,不难看出这是base64编码在Kali中进行base64解码iodj{zh1f0p3_2_Fwi}发现不是flag,根据以往做题经验,猜测是二次加密,再看这个格式像是凯撒移位根据凯撒移位规则,得出移位数为3,故key是3进行凯撒移位密码解密爆出flag:flag{we1c0m3_2_ctf} W...
- SHCTF(山河)赛事部分Write up-白猫 MISC [WEEK1]签到题下载题目并打开:base128编码:Wm14aFozdDBhR2x6WDJselgyWnNZV2Q5因为是base128编码,所以通过两次base64解码,即可得出flag爆出flag:flag{this_is_flag}**总结: **这道签到题主要考察了对base64编码的基础了解 [WEEK1]Stega... SHCTF(山河)赛事部分Write up-白猫 MISC [WEEK1]签到题下载题目并打开:base128编码:Wm14aFozdDBhR2x6WDJselgyWnNZV2Q5因为是base128编码,所以通过两次base64解码,即可得出flag爆出flag:flag{this_is_flag}**总结: **这道签到题主要考察了对base64编码的基础了解 [WEEK1]Stega...
- WEB集群之Nginx技术目标理解常见的WEB服务理解Nginx的作用掌握nginx常见的配置文件搭建web站点ngx处理用户请求流程ngx常用功能与模块一、WEB服务WEB服务:网站服务,部署并启动了这个服务,你就可以搭建一个网站. WEB中间件: 等同于WEB服务 中间件:范围更加广泛,指的负载均衡之后的服务. 数据库中间件:数据库缓存,消息对列 常见网站服务 网站服务说明官网Nginx... WEB集群之Nginx技术目标理解常见的WEB服务理解Nginx的作用掌握nginx常见的配置文件搭建web站点ngx处理用户请求流程ngx常用功能与模块一、WEB服务WEB服务:网站服务,部署并启动了这个服务,你就可以搭建一个网站. WEB中间件: 等同于WEB服务 中间件:范围更加广泛,指的负载均衡之后的服务. 数据库中间件:数据库缓存,消息对列 常见网站服务 网站服务说明官网Nginx...
- https://bbs.huaweicloud.com/blogs/444386前面梳理了CRLF注入,其中有一条就是关于日志注入的,除了手动的方式,就是我们经常使用的log4j本身就提供了CRLF防御手段,仅需一个简单的配置log4j配置文件示例截取其中的一个appender做介绍 <!-- 将日志信息输出到控制台 --> <appender name="ConsoleAppe... https://bbs.huaweicloud.com/blogs/444386前面梳理了CRLF注入,其中有一条就是关于日志注入的,除了手动的方式,就是我们经常使用的log4j本身就提供了CRLF防御手段,仅需一个简单的配置log4j配置文件示例截取其中的一个appender做介绍 <!-- 将日志信息输出到控制台 --> <appender name="ConsoleAppe...
- 背景主要针对xss的补充防御:https://bbs.huaweicloud.com/blogs/444386#H10防御措施上文提到的常见防御手段主要分为:入参校验出参转码前端过滤一、入参校验入参校验主要针对一些特殊字符进行过滤,避免持久型XSS的情况。如果发现有特殊字符,则根据业务需求,进行相应的处理。例如禁止访问、直接过滤/替换字符,或者进行转码。各有优缺。禁止访问:如果检测到特殊字符... 背景主要针对xss的补充防御:https://bbs.huaweicloud.com/blogs/444386#H10防御措施上文提到的常见防御手段主要分为:入参校验出参转码前端过滤一、入参校验入参校验主要针对一些特殊字符进行过滤,避免持久型XSS的情况。如果发现有特殊字符,则根据业务需求,进行相应的处理。例如禁止访问、直接过滤/替换字符,或者进行转码。各有优缺。禁止访问:如果检测到特殊字符...
- 结合其他文章,需要针对一些web攻击进行字符过滤、转码。做一个总结特殊字符特殊字符SQL注入攻击XSS命令注入文件包含攻击XXEURL编码攻击CSV注入,需过滤 . 需过滤 ? !需过滤 需过滤 : ;需过滤 需过滤需过滤 "需过滤需过滤 需过滤 '需过滤需过滤 需过滤 (需过滤需过滤需过滤 )需过滤需过滤需过滤 [需过... 结合其他文章,需要针对一些web攻击进行字符过滤、转码。做一个总结特殊字符特殊字符SQL注入攻击XSS命令注入文件包含攻击XXEURL编码攻击CSV注入,需过滤 . 需过滤 ? !需过滤 需过滤 : ;需过滤 需过滤需过滤 "需过滤需过滤 需过滤 '需过滤需过滤 需过滤 (需过滤需过滤需过滤 )需过滤需过滤需过滤 [需过...
- 由于会经常浏览一些安全的帖子,觉得有用的就会收藏起来,时间久了,收藏的网页越来越多,浏览起来特别方便,于是想了想,觉得还是基于自己的理解以及其他人的经验,尽量总结到一块,也方便自己做归纳总结,对于同一类的问题,也能及时发现。本次主要总结的内容为web攻击相关的知识。一、XSS注入基本介绍可在浏览器侧执行某些特定的攻击代码片段。本质是js代码执行。例如获取cookie并发送到自己的网站(跨站)... 由于会经常浏览一些安全的帖子,觉得有用的就会收藏起来,时间久了,收藏的网页越来越多,浏览起来特别方便,于是想了想,觉得还是基于自己的理解以及其他人的经验,尽量总结到一块,也方便自己做归纳总结,对于同一类的问题,也能及时发现。本次主要总结的内容为web攻击相关的知识。一、XSS注入基本介绍可在浏览器侧执行某些特定的攻击代码片段。本质是js代码执行。例如获取cookie并发送到自己的网站(跨站)...
- 2024全网最全面及最新且最为详细的网络安全技巧 (3-2) 之 linux提权各类技巧 上集之 passwd 文件提权 2024全网最全面及最新且最为详细的网络安全技巧 (3-2) 之 linux提权各类技巧 上集之 passwd 文件提权
- 2024全网最全面及最新且最为详细的网络安全技巧 (3-1) 之 linux提权各类技巧 之 CronJobs 提权 2024全网最全面及最新且最为详细的网络安全技巧 (3-1) 之 linux提权各类技巧 之 CronJobs 提权
- 一、描述日志脱敏指业务日志进行打印敏感信息时,进行敏感数据的过滤和替换,避免敏感信息的泄露。二、危害日志大多数用于问题定位、追溯,大部分情况下只允许运维人员查看,特殊情况下也会做成模块在页面中呈现,当然也会有对日志权限控制不足的情况,就会导致日志信息泄露,如果日志中存在明文敏感信息,则会导致系统的安全极具降低,系统的安全措施失效,被攻击者绕过。类似举例:一个锁匠,每天需要为很多人售卖高档的锁... 一、描述日志脱敏指业务日志进行打印敏感信息时,进行敏感数据的过滤和替换,避免敏感信息的泄露。二、危害日志大多数用于问题定位、追溯,大部分情况下只允许运维人员查看,特殊情况下也会做成模块在页面中呈现,当然也会有对日志权限控制不足的情况,就会导致日志信息泄露,如果日志中存在明文敏感信息,则会导致系统的安全极具降低,系统的安全措施失效,被攻击者绕过。类似举例:一个锁匠,每天需要为很多人售卖高档的锁...
- 一、描述不安全随机数也称伪随机数,指可被猜测的随机数,不具有随机性。举例:一副崭新的扑克牌,打开后进行任意洗牌,并按照洗好的顺序给每个人进行发牌,如果眼力和记忆力足够好,则理论上完全可以根据自己的牌,计算出其他人的牌。二、危害对于认证鉴权场景,重要的业务场景,加密数据场景等,如果使用了不安全随机数,则一切都将变得透明,可预测。则认证、加密等都将变得不可信。业务举例1:想象一下,你有一张礼品兑... 一、描述不安全随机数也称伪随机数,指可被猜测的随机数,不具有随机性。举例:一副崭新的扑克牌,打开后进行任意洗牌,并按照洗好的顺序给每个人进行发牌,如果眼力和记忆力足够好,则理论上完全可以根据自己的牌,计算出其他人的牌。二、危害对于认证鉴权场景,重要的业务场景,加密数据场景等,如果使用了不安全随机数,则一切都将变得透明,可预测。则认证、加密等都将变得不可信。业务举例1:想象一下,你有一张礼品兑...
- 24-9-24-web爆破-学习笔记 24-9-24-web爆破-学习笔记
上滑加载中
推荐直播
-
大模型Prompt工程深度实践2025/02/24 周一 16:00-17:30
盖伦 华为云学堂技术讲师
如何让大模型精准理解开发需求并生成可靠输出?本期直播聚焦大模型Prompt工程核心技术:理解大模型推理基础原理,关键采样参数定义,提示词撰写关键策略及Prompt工程技巧分享。
回顾中 -
华为云 x DeepSeek:AI驱动云上应用创新2025/02/26 周三 16:00-18:00
华为云 AI专家大咖团
在 AI 技术飞速发展之际,DeepSeek 备受关注。它凭借哪些技术与理念脱颖而出?华为云与 DeepSeek 合作,将如何重塑产品与应用模式,助力企业数字化转型?在华为开发者空间,怎样高效部署 DeepSeek,搭建专属服务器?基于华为云平台,又该如何挖掘 DeepSeek 潜力,实现智能化升级?本期直播围绕DeepSeek在云上的应用案例,与DTSE布道师们一起探讨如何利用AI 驱动云上应用创新。
去报名
热门标签