摘要： 1.客户端 通过arp 静态绑定网关的mac地址（正确的服务网关），可以有效防止中间机作为中间机动态更改你的网关的mac地址为中间机的mac地址 2.服务端进行加密，将http加密成https（公钥加密，私钥解密；公钥验证签名，私钥签名） 阅读全文

摘要： 1.将ssh的登录密码修改为高级别（字母大小写+数字+特殊字符+20位以上）并未定期更换 2.修改ssh默认端口22为别的端口： vim /etc/ssh/sshd_config 将 #Port 22 去掉前面的#修改为 Port 54367 :wq! 保存退出 3.基于PAM实现登录限制 vim 阅读全文

摘要： 1.HTML form without CSRF protection HTML表单没有CSRF保护 2.User credentials are sent in clear text 用户得凭证信息以明文发送 3.Cookie without HttpOnly flag set Cookie未设置 阅读全文

摘要： 1.在代码中包含哪些文件就写包含指定的文件，尽量不要包含所有类型的文件，即包含*，防止文件包含漏洞结合文件上传漏洞生成一句话木马（上传一个带有生成一句话木马的图片，结合文件包含漏洞将生成一句话木马的代码执行，进而生成一句话木马文件，然后远程通过一句话木马文件控制服务器） 2.文件包含：包含本地 和包 阅读全文

摘要： 1.对上传的文件进行后缀名限制，可以在一定程度上抵御文件上传漏洞，即不让代码类型的文件上传。 2.上传一个脚本文件（后缀名属于限制级别），使用burpsuit做代理，将请求中的16进制文件进行修改，就可以达到欺骗的目的，成功上传脚本类型的文件 阅读全文

摘要： 1.对输入的<>/进行处理后，可预防xss攻击 反射型xss: 一般是查询输入框中招，将代有木马参数的url发送给某用户，用户点击后即中招 存储型xss:输入并存储在页面，一般如留言框中招； domxss:在URL的哈西值部分（即URL#号后的部分）植入xss攻击 2.在输入框中输入： <scrip 阅读全文

摘要： 1.ip a :查看IP地址 2. ss -tnlp : 查看监听的端口 3.lsop -i :8080 ：查看某个端口 4.find / -name sound.wav :查找某个文件 5. ls /var/www/html/ :列出某个路径下的所有文件 6.grep 10.30 22.xml : 阅读全文

摘要： 1.输入框中输入单引号，报数据库语法错误，说明可以进行sql注入。 2.输入框中输入单引号加或恒成立条件，例如：' or 1=1 会查询到该表全部数据 3.输入：' or 1=1 --yangge ' 其中--后表示数据库的注释，--后的内容都不进入正式查询语句 4.使用union语句，例如输入: 阅读全文

摘要： https://blog.csdn.net/zyy247796143/article/details/82143832 服务器安装： yum install Xvfb ：在安装完谷歌浏览器后，安装xvfb 1.在xshell中的 工具->选项->高级 的选项中勾选：使用单进程模式以提高性能* 一项， 阅读全文

摘要： 1.curl访问： 例子： curl http://www.baidu.com 注意：这种访问只会直接读取网站HTML代码出来 2.elinks访问： yum -y install elinks :安装elinks elinks --dump http://www.baidu.com 3.lynx访 阅读全文