• 博客园logo
  • 会员
  • 周边
  • 众包
  • 新闻
  • 博问
  • 闪存
  • HarmonyOS
  • Chat2DB
    • 搜索
      所有博客
    • 搜索
      当前博客
  • 写随笔 我的博客 短消息 简洁模式
    用户头像
    我的博客 我的园子 账号设置 会员中心 简洁模式 ... 退出登录
    注册 登录
Wuzhiyu
博客园 | 首页 | 新随笔 | 新文章 | 联系 | 订阅 订阅 | 管理
上一页 1 2 3 4 下一页

2021年1月30日

注入攻击
摘要: 注入攻击是一种比较常见的攻击方式。比如之前提到的XSS攻击就是HTML注入攻击,针对数据库的注入攻击则是有SQL注入攻击。 注入攻击的本质其实就是将用户输入的数据当作代码去执行了。其包含两点:用户控制自己的输入,用户的输入被拼接到代码当中去了。 所以说在进行代码设计的时候,我们应该注意将数据与代码分 阅读全文
posted @ 2021-01-30 17:37 Wuzhiyu 阅读(875) 评论(0) 推荐(0)
 
 

2021年1月2日

SQL注入(二)
摘要: 接着第一章继续说: 除了之前的注入方式,我们还有其他的方法嘛? 第一个想法就是利用报错信息来传递我们想要的信息。 因为之前传入id=1'时,页面返回给了我们错误的信息,那么我们能不能让页面返回的错误信息中包含我们需要的信息呢? 构造如下url: http://127.0.0.1/sql/Less-1 阅读全文
posted @ 2021-01-02 16:16 Wuzhiyu 阅读(239) 评论(0) 推荐(1)
 
 

2020年12月31日

SQL注入(一)
摘要: sql注入介绍 我们直接来看一个例子: 我们访问的站点目录是Less-1,传入参数id=1 这里输入url使用的是火狐里面的一个插件Max HackBar,比较方便,当然也有其他各种编码功能,暂不讨论。 传入参数后,页面经过查询给我们的返回如下: 查询到一个用户名位Dumb,密码位Dumb的用户信息 阅读全文
posted @ 2020-12-31 15:53 Wuzhiyu 阅读(351) 评论(0) 推荐(0)
 
 

2020年12月29日

工程实践中的软件系统设计方案
摘要: 一、软件设计方案 本学期工程实践需要完成ctf赛题学习与安全工具分享平台的搭建。我们准备使用MVT框架进行设计。 MVT与MVC不同,M代表midel,负责与数据库交互;V表示view,是核心,负责接受请求、获取数据与返回结果;T表示template,负责呈现内容到浏览器。 如图: 客户端先是请求信 阅读全文
posted @ 2020-12-29 20:49 Wuzhiyu 阅读(163) 评论(0) 推荐(0)
 
 

2020年12月21日

XSS第一节——原理与分类
摘要: 简单介绍下xss的原理与分类,此篇博文作为讲稿使用。学术不精望批评指正。 XSS全名Cross-Site Scripting,即跨站脚本。这么听名字可能有点懵逼,什么是跨站、用什么脚本。先不做解释,我们直接来看个例子。 代码如下,存在输入表单,将输入表单的内容提交给当前页面路径处理(action为空 阅读全文
posted @ 2020-12-21 14:26 Wuzhiyu 阅读(245) 评论(0) 推荐(0)
 
 

2020年12月13日

工程实践中的需求分析与概念原型
摘要: 本学期工程实践我需要完成ctf赛题学习与安全工具分享平台的搭建,对此进行用例建模和业务领域建模,以及数据建模,最终形成概念原型。 一、用例图 用例建模主要分为四个步骤: 第一步是从需求表述中找出用例,往往是动名词短语表示的抽象用例; 第二步是描述用例开始和结束的状态; 第三步是对用例按照子系统或不同 阅读全文
posted @ 2020-12-13 21:36 Wuzhiyu 阅读(184) 评论(0) 推荐(0)
 
 

2020年11月5日

代码中的软件工程
摘要: 在这一次的学习中,我主要对孟宁老师的menu案例进行分析,理解其中包含的软件工程思想。 源代码:https://github.com/mengning/menu 参考资料:https://gitee.com/mengning997/se/blob/master/README.md#%E4%BB%A3 阅读全文
posted @ 2020-11-05 20:02 Wuzhiyu 阅读(154) 评论(0) 推荐(0)
 
 

2020年10月29日

命令注入
摘要: 摘要:声明:此博客只是记录自己的ctf学习过程,请勿用于非法途径。 靶场机器IP地址:192.168.31.191 扫描: 开放80端口的http服务,所以可以nikto或者dirb一下,同时可以使用浏览器打开看看 dirb到了robots.txt,打开看看: 对其中的文件依次访问看看是否有可以利用 阅读全文
posted @ 2020-10-29 22:16 Wuzhiyu 阅读(314) 评论(0) 推荐(0)
 
 

2020年10月28日

web安全命令执行
摘要: 声明:此博客只是记录自己的ctf学习过程,请勿用于非法途径。 扫描主机服务信息以及服务版本: nmap -sV 192.168.31.213 快速扫描主机全部信息: nmap -T4 -A -v 192.168.31.213 有http服务,用nikto探测敏感信息:(这儿要加端口号,因为这一次ht 阅读全文
posted @ 2020-10-28 20:10 Wuzhiyu 阅读(227) 评论(0) 推荐(0)
 
 

2020年10月25日

web安全暴力破解
摘要: 声明:此博客只是记录自己的ctf学习过程,请勿用于非法途径。 穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,知道全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。穷举法也称为枚举 阅读全文
posted @ 2020-10-25 15:09 Wuzhiyu 阅读(585) 评论(0) 推荐(0)
 
 
上一页 1 2 3 4 下一页

公告


博客园  ©  2004-2025
浙公网安备 33010602011771号 浙ICP备2021040463号-3