帅的被狗咬 - 博客园

token简介

摘要： Token含义： 1、Token的引入：Token是在客户端频繁向服务端请求数据，服务端频繁的去数据库查询用户名和密码并进行对比，判断用户名和密码正确与否，并作出相应提示，在这样的背景下，Token便应运而生。 2、Token的定义：Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，阅读全文

posted @ 2021-09-18 20:05 帅的被狗咬阅读(328) 评论(0) 推荐(0)

命令执行与反序列化漏洞简介和防御

摘要：一、远程代码执行漏洞（RCE） 1、远程系统命令执行漏洞应用系统在设计上，需要给用户提供指定的远程命令操作接口，而设计者在完成该功能时，并没有做严格的安全控制，那攻击者就可以通过该接口控制整个后台服务器。例：我们常见的路由器、防火墙、入侵检测等设备的web管理界面上，一般会给用户提供一个pin 阅读全文

posted @ 2021-09-18 17:23 帅的被狗咬阅读(861) 评论(0) 推荐(0)

编辑器与越权漏洞简介

摘要：一、旁注原理：在同一服务器上设有多个站点，我们要攻击的这个站点假设没有漏洞，则我们可以通过攻击服务器上的其他站点来完成自己的目的二、ip逆向查询：可通过ping 域名获取其相关IP地址，之后通过IP地址反查来获取其旁注的域名三、目录越权造成的原因：运维人员使用了同一个中间件用户会造成目录越权阅读全文

posted @ 2021-09-16 17:04 帅的被狗咬阅读(259) 评论(0) 推荐(0)

SSRF与CSRF的攻防资料

摘要：一、SSRF漏洞：通过篡改获取资源的请求发送给服务器，且服务器并没有检测这个请求是否合法，然后服务器以他的身份来访问其他服务器的资源。 CSRF漏洞：必须建立在浏览器与Web服务器的会话中，必须欺骗用户点击访问URL。二、SSRF漏洞如何挖掘： ①通过URL地址分享网页内容；或者加载和下载图片阅读全文

posted @ 2021-09-13 21:30 帅的被狗咬阅读(72) 评论(0) 推荐(0)

今天学习内容

摘要：常识 #hostname 主机名 #pwd 当前所在目录位置 #umtui 设置网卡 #ip a #ip route #route -n #ifconfig 都可以看ip地址 #systernctl restart network 重启网络网卡快捷键 ctrl+l 清屏 ctrl+c 退出 ctr 阅读全文

posted @ 2021-09-07 21:49 帅的被狗咬阅读(70) 评论(0) 推荐(0)

使用Union语句进行SQL注入的基本原理

摘要： SQL注入是常见的网络攻击方法，之所以能够实现，是因为网页有着SQL漏洞。我们可以利用存在的漏洞来获取我们想要的各种信息。 1. 对SQL注入的理解所谓的SQL注入，是利用了网页的地址，即URL。首先URL必须是动态网页，也就是能够通过网址进行参数传递，如’？id=1’；静态网页因为没有参数传递，所阅读全文

posted @ 2021-09-06 11:20 帅的被狗咬阅读(559) 评论(0) 推荐(0)

mySQL中information_schema数据库的介绍

摘要： information_schema数据库是MySQL自带的，它提供了访问数据库元数据的方式。什么是元数据呢？元数据是关于数据的数据，如数据库名或表名，列的数据类型，或访问权限等。有些时候用于表述该信息的其他术语包括“数据词典”和“系统目录”。在MySQL中，把 information_schem 阅读全文

posted @ 2021-09-06 09:59 帅的被狗咬阅读(166) 评论(0) 推荐(0)