- web简易开发(二){html5+php实现文件上传及通过关键字搜索已上传图片)} web简易开发(二){html5+php实现文件上传及通过关键字搜索已上传图片)}
- PHP常见伪协议php://filter是PHP中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释为:php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。php://data协议是PHP中的一种特殊协议,可以在包含函... PHP常见伪协议php://filter是PHP中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。官方解释为:php://filter 是一种元封装器,设计用于数据流打开时的筛选过滤应用。php://data协议是PHP中的一种特殊协议,可以在包含函...
- 深入了解SQL注入 什么是SQL注入?SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。(百度百科)SQL注入是Web安全常见的一种攻击手段,其主要存在于数据库中,用来窃取重要信... 深入了解SQL注入 什么是SQL注入?SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。(百度百科)SQL注入是Web安全常见的一种攻击手段,其主要存在于数据库中,用来窃取重要信...
- Misc 签到aW9kant6aDFmMHAzXzJfRndpfQ==根据base64编码特征,不难看出这是base64编码在Kali中进行base64解码iodj{zh1f0p3_2_Fwi}发现不是flag,根据以往做题经验,猜测是二次加密,再看这个格式像是凯撒移位根据凯撒移位规则,得出移位数为3,故key是3进行凯撒移位密码解密爆出flag:flag{we1c0m3_2_ctf} W... Misc 签到aW9kant6aDFmMHAzXzJfRndpfQ==根据base64编码特征,不难看出这是base64编码在Kali中进行base64解码iodj{zh1f0p3_2_Fwi}发现不是flag,根据以往做题经验,猜测是二次加密,再看这个格式像是凯撒移位根据凯撒移位规则,得出移位数为3,故key是3进行凯撒移位密码解密爆出flag:flag{we1c0m3_2_ctf} W...
- SHCTF(山河)赛事部分Write up-白猫 MISC [WEEK1]签到题下载题目并打开:base128编码:Wm14aFozdDBhR2x6WDJselgyWnNZV2Q5因为是base128编码,所以通过两次base64解码,即可得出flag爆出flag:flag{this_is_flag}**总结: **这道签到题主要考察了对base64编码的基础了解 [WEEK1]Stega... SHCTF(山河)赛事部分Write up-白猫 MISC [WEEK1]签到题下载题目并打开:base128编码:Wm14aFozdDBhR2x6WDJselgyWnNZV2Q5因为是base128编码,所以通过两次base64解码,即可得出flag爆出flag:flag{this_is_flag}**总结: **这道签到题主要考察了对base64编码的基础了解 [WEEK1]Stega...
- 2024全网最全面及最新且最为详细的网络安全技巧 (3-2) 之 linux提权各类技巧 上集之 passwd 文件提权 2024全网最全面及最新且最为详细的网络安全技巧 (3-2) 之 linux提权各类技巧 上集之 passwd 文件提权
- 2024全网最全面及最新且最为详细的网络安全技巧 (3-1) 之 linux提权各类技巧 之 CronJobs 提权 2024全网最全面及最新且最为详细的网络安全技巧 (3-1) 之 linux提权各类技巧 之 CronJobs 提权
- 一、描述日志脱敏指业务日志进行打印敏感信息时,进行敏感数据的过滤和替换,避免敏感信息的泄露。二、危害日志大多数用于问题定位、追溯,大部分情况下只允许运维人员查看,特殊情况下也会做成模块在页面中呈现,当然也会有对日志权限控制不足的情况,就会导致日志信息泄露,如果日志中存在明文敏感信息,则会导致系统的安全极具降低,系统的安全措施失效,被攻击者绕过。类似举例:一个锁匠,每天需要为很多人售卖高档的锁... 一、描述日志脱敏指业务日志进行打印敏感信息时,进行敏感数据的过滤和替换,避免敏感信息的泄露。二、危害日志大多数用于问题定位、追溯,大部分情况下只允许运维人员查看,特殊情况下也会做成模块在页面中呈现,当然也会有对日志权限控制不足的情况,就会导致日志信息泄露,如果日志中存在明文敏感信息,则会导致系统的安全极具降低,系统的安全措施失效,被攻击者绕过。类似举例:一个锁匠,每天需要为很多人售卖高档的锁...
- 一、描述不安全随机数也称伪随机数,指可被猜测的随机数,不具有随机性。举例:一副崭新的扑克牌,打开后进行任意洗牌,并按照洗好的顺序给每个人进行发牌,如果眼力和记忆力足够好,则理论上完全可以根据自己的牌,计算出其他人的牌。二、危害对于认证鉴权场景,重要的业务场景,加密数据场景等,如果使用了不安全随机数,则一切都将变得透明,可预测。则认证、加密等都将变得不可信。业务举例1:想象一下,你有一张礼品兑... 一、描述不安全随机数也称伪随机数,指可被猜测的随机数,不具有随机性。举例:一副崭新的扑克牌,打开后进行任意洗牌,并按照洗好的顺序给每个人进行发牌,如果眼力和记忆力足够好,则理论上完全可以根据自己的牌,计算出其他人的牌。二、危害对于认证鉴权场景,重要的业务场景,加密数据场景等,如果使用了不安全随机数,则一切都将变得透明,可预测。则认证、加密等都将变得不可信。业务举例1:想象一下,你有一张礼品兑...
- 24-9-24-web爆破-学习笔记 24-9-24-web爆破-学习笔记
- 今天偶然看到了一个关于ssrf的攻击介绍,同时也一直回答了我一直想要了解的一个问题,ssrf如何绕过域名的限制,所以做个记录。一、背景SSRF服务端请求伪造攻击。指的是通过服务器访问资源时,通过绕过资源的范围限制,达到通过服务器,任意访问其他资源的场景。 二、介绍以java举例,通过服务器发送请求// 一般来说url都会进行限制,例如限定某一条url,通过配置文件。 但是某些条件下,为了方... 今天偶然看到了一个关于ssrf的攻击介绍,同时也一直回答了我一直想要了解的一个问题,ssrf如何绕过域名的限制,所以做个记录。一、背景SSRF服务端请求伪造攻击。指的是通过服务器访问资源时,通过绕过资源的范围限制,达到通过服务器,任意访问其他资源的场景。 二、介绍以java举例,通过服务器发送请求// 一般来说url都会进行限制,例如限定某一条url,通过配置文件。 但是某些条件下,为了方...
- 本文档是Linux服务与安全管理课程的任务单,涉及Web服务器的安装与配置。任务涵盖从简单Web站点搭建到基于主机和用户认证的访问控制配置,包括用户个人主页、虚拟目录、基于IP的虚拟主机及域名访问设置。通过实践,学生掌握了Apache服务器的配置与管理技能,深入理解了Web服务的部署与安全控制,提升了Linux系统网络服务的综合应用能力。 本文档是Linux服务与安全管理课程的任务单,涉及Web服务器的安装与配置。任务涵盖从简单Web站点搭建到基于主机和用户认证的访问控制配置,包括用户个人主页、虚拟目录、基于IP的虚拟主机及域名访问设置。通过实践,学生掌握了Apache服务器的配置与管理技能,深入理解了Web服务的部署与安全控制,提升了Linux系统网络服务的综合应用能力。
- DVWA Weak Session IDs(弱会话)Low Level1、分析网页源代码<?php$html = "";if ($_SERVER['REQUEST_METHOD'] == "POST") {if (!isset ($_SESSION['last_session_id'])) {$_SESSION['last_session_id'] = 0;}$_SESSION['last_... DVWA Weak Session IDs(弱会话)Low Level1、分析网页源代码<?php$html = "";if ($_SERVER['REQUEST_METHOD'] == "POST") {if (!isset ($_SESSION['last_session_id'])) {$_SESSION['last_session_id'] = 0;}$_SESSION['last_...
- DVWA SQL Injection (Blind)Low0、分析网页源代码<?phpif( isset( $_GET[ 'Submit' ] ) ) {// Get input$id = $_GET[ 'id' ];// Check database$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'... DVWA SQL Injection (Blind)Low0、分析网页源代码<?phpif( isset( $_GET[ 'Submit' ] ) ) {// Get input$id = $_GET[ 'id' ];// Check database$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'...
- DVWA Reflected Cross Site Scripting (反射型 XSS)XSS跨站原理当应用程序发送给浏览器的页面中包含用户提交的数据,但没有经过适当验证或转义时,就会导致跨站脚本漏洞。这个“跨”实际上属于浏览器的特性,而不是缺陷;浏览器同源策略:只有发布Cookie的网站才能读取Cookie。会造成Cookie窃取、劫持用户Web行为、结合CSRF进行针对性攻击等危害反射... DVWA Reflected Cross Site Scripting (反射型 XSS)XSS跨站原理当应用程序发送给浏览器的页面中包含用户提交的数据,但没有经过适当验证或转义时,就会导致跨站脚本漏洞。这个“跨”实际上属于浏览器的特性,而不是缺陷;浏览器同源策略:只有发布Cookie的网站才能读取Cookie。会造成Cookie窃取、劫持用户Web行为、结合CSRF进行针对性攻击等危害反射...
上滑加载中
推荐直播
-
让你的应用用上GaussDB2024/12/19 周四 16:30-18:00
Jerry 华为云生态技术讲师
GaussDB很受客户关注,伙伴们想知道什么时候该选用,开发者也跃跃欲试想尝鲜。课程会分享适用的场景,并一步步演示如何用上GaussDB。
即将直播 -
2024创原会年度技术峰会2024/12/20 周五 09:00-12:00
华为云讲师团
2024创原会年度技术峰会将于12月20日在海南万宁石梅湾威斯汀酒店举办,本次大会将以“智能・进化”为主题探讨从Cloud Native到AI Native的新阶段企业如何通过AI技术重塑企业应用,围绕AI如何在千行万业落地进行深入交流,探索可以先行先试先成功的创新场景和实现路径。
即将直播 -
华为云开发者日·2024年度创享峰会2024/12/23 周一 14:00-16:00
华为云讲师团
华为云开发者日HDC.Cloud Day是面向全球开发者的旗舰活动,汇聚来自千行百业、高校及科研院所的开发人员。致力于打造开发者专属的技术盛宴,全方位服务与赋能开发者围绕华为云生态“知、学、用、创、商”的成长路径。通过前沿的技术分享、场景化的动手体验、优秀的应用创新推介,为开发者提供沉浸式学习与交流平台。开放创新,与开发者共创、共享、共赢未来。
去报名
热门标签