mu3e

摘要： DOM型XSS： DOM：文档对象模型，是页面将元素以为对象的树状呈现的一种模型，以便于javascript组织处理。 每个页面都有很多的元素，当访问页面时，会创建一个顶级的文档对象，后续的元素则以树状排列为其余文档对象，各个对象有自己的属性等等。 而JS脚本修改页面则是通过查找树形文档对象模型，然 阅读全文

摘要： XXE：XML External Entity（XML外部实体） XML：xml是一种标记语言，用来标记电子文件，从而使得电子文件具有一定的格式和结构性，是一种用户可以自己定义的标记语言。 XML文档包括：XML声明，DTD文档类型定义，文档元素 1.漏洞产生原理：当允许对XML外部实体进行引用时， 阅读全文

摘要： --第一部分：数据库的基本使用和增删改查 --创建数据库：creat datebase FP; --显示数据库：show database; --选中数据库：use FP; --创建表：creat table fapiao ( id varchar(20), user varchar(20), mo 阅读全文

摘要： GitHub 是全球最大的代码开源平台，重要性不言而喻。 但由于某些特殊原因，可能导致了DNS解析缓慢，容易出现tcp的连接超时情况，很多人发现自己访问 GitHub 时断时续。 到底是什么原因导致了这个问题，网上众说纷纭，我还是小白，也不必去深究，只要解决这个问题来满足自己的访问需求就可以了。 下 阅读全文

摘要： 堡垒机：又名安全审计系统 由此可见，堡垒机并不是一台特定的主机，而是一个架构在整个本地网络环境中的系统。以代理的形式切断系统计算机和网络以及其他资产的直接访问，监控这些操作。 堡垒机的主要功能有四大方面，也称为4A： 身份验证 Authentication 账号管理 Account 授权控制 Aut 阅读全文

摘要： 1.当请求网站时，后台发生的操作 首先我们访问一个网站，输入目标网站的域名，但是本机不认识域名，机器之间不会用英语对话哈，他们的识别靠的是ip地址， 1.所以这时候要做域名解析，也就是从域名解析出目标ip地址的过程。首先机器会在本地存储的hosts文件中查找常用的ip地址，如果没有找到，则需要dns 阅读全文

摘要： 逻辑漏洞： 区别与其他常见漏洞往往与程序有关，逻辑漏洞的成因是由于工作人员所设计编写的代码有一定逻辑上的不足，遭到攻击者的恶意利用。而攻击逻辑漏洞的流量或是请求往往都是合法的，所以逻辑漏洞比传统漏洞更难检测发现。 常见的逻辑漏洞： 1.订单金额的非法修改： 一些中小型的购物网站在支付页面没有对支付金 阅读全文

摘要： 云：指云技术，在局域网或广域网上将资源合并统筹起来利用的一种技术。 云计算：狭义上的云计算指的，网络云将一个巨大的计算程序分解成多个小程序步骤，分发给服务器系统内的各个服务器，分别做计算后汇总整合。能够非常快速的实现任务解决。 是一种分布式计算技术，也叫网格处理计算技术。 如今广义上的云计算已经不单 阅读全文

摘要： CSRF：跨站请求伪造 1.漏洞产生原理：由于web服务器没有识别发送请求的源ip，仅靠cookie来做用户认证而导致的用户信息泄露。 2.漏洞利用原理：用户登录一个有CSRF漏洞的站点A，同时访问一个恶意站点B，站点B利用用户向站点A发起访问请求，站点A识别用户本地浏览器的cookie，从而认为请 阅读全文

摘要： 在上一篇随笔中，已经简单介绍过WAF的基本信息了。 WAF依据配置情况分为：嵌入性WAF和非嵌入型WAF 嵌入型WAF：直接将WAF嵌入在web应用的代码里。 非嵌入型WAF：独立工作的WAF：此类又分为： 软件型WAF：以软件模式安装配置在服务器上的WAF，能够直接接触服务器文件，可以检查服务器上 阅读全文