摘要:
反序列化构造: <?php highlight_file(__FILE__); class DemoX{ protected $user; protected $sex; function __construct(){ $this->user = new Demo2('php://filter/co 阅读全文
posted @ 2021-09-11 17:53
尘—尘
阅读(635)
评论(0)
推荐(0)
摘要:
打印沙漏 1.本题要求你写个程序把给定的符号打印成沙漏的形状。例如给定17个“*”,要求按下列格式打印: __所谓“沙漏形状”,是指每行输出奇数个符号;各行符号中心对齐;相邻两行符号数差2;符号数先从大到小顺序递减到1,再从小到大顺序递增;首尾符号数相等。 给定任意N个符号,不一定能正好组成一个沙漏 阅读全文
posted @ 2021-03-13 20:11
尘—尘
阅读(214)
评论(0)
推荐(0)
摘要:
CSP简介: CSP全称是: Content-Security-Policy, 内容安全策略。 是指HTTP返回报文头中的标签,浏览器会根据标签中的内容,判断哪些资源可以加载或执行。 主要是为了缓解潜在的跨站脚本问题(XSS),浏览器的扩展程序系统引入了内容安全策略这个概念。原来应对XSS攻时,主要 阅读全文
posted @ 2021-02-14 15:31
尘—尘
阅读(235)
评论(0)
推荐(0)
摘要:
XSS概念: 由于web应用程序对用户的输入过滤不严,通过html注入篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 XSS类型: 反射型XSS: 只是简单地把用户输入的数据反射给浏览器,简单来说,黑客往往需要去诱使用户点击一个恶意链接,才能攻击成功。 存储型XSS: 将用 阅读全文
posted @ 2021-02-14 15:30
尘—尘
阅读(292)
评论(0)
推荐(0)
摘要:
一、SQL注入概念: SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 二、手工注入常规思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定回显位置 4.获取当前数据库 5.获取数据库中的表 6.获取 阅读全文
posted @ 2021-02-14 15:29
尘—尘
阅读(860)
评论(0)
推荐(0)
摘要:
简单版 1.查看源码: 在前台生成了一个token,用的是md5加密。 先在输入框输入success,再在控制台输入generate_token(); 中等版: 1.查看源代码: 发现引入了一个js来创建token js代码中:**do_something(e)**的含义是将一个字符串翻转,就是倒过 阅读全文
posted @ 2021-02-14 15:28
尘—尘
阅读(191)
评论(0)
推荐(0)
摘要:
SQL Injection(Blind): SQL Injection(Blind),即SQL盲注。 与一般注入的区别在于: 一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前 阅读全文
posted @ 2021-02-14 15:27
尘—尘
阅读(719)
评论(0)
推荐(0)
摘要:
Insecure CAPTCHA,意思是不安全的验证码, CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。 reCAPTCHA验证流程 这 阅读全文
posted @ 2021-01-31 19:30
尘—尘
阅读(139)
评论(0)
推荐(0)
摘要:
文件上传漏洞: * 在实现文件上传时,如果后端没有对用户上传的文件做好处理,会导致非常严重的安全问题: * 如服务器被上传恶意代码,或者垃圾文件。 1.查看源代码: $target_path = DVWA_WEB_PAGE_TO_ROOT.“hackable/uploads/”; //含义: **D 阅读全文
posted @ 2021-01-31 18:16
尘—尘
阅读(182)
评论(0)
推荐(0)
摘要:
一、文件包含: **文件包含**: 开发人员将相同的函数写入单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程称文件包含。 **文件包含漏洞**: 开发人员为了使代码更灵活,会将被包含的文件设置为变量,用来进行动态调用,从而导致客户端可以恶意调用一个恶意文件,造成文件包 阅读全文
posted @ 2021-01-25 12:35
尘—尘
阅读(82)
评论(0)
推荐(0)
浙公网安备 33010602011771号