同源策略的解决方案 1.什么是XSS攻击,什么是CSRF,什么是CORS # 什么是XSS攻击 跨站脚本攻击分为两种方式:反射型攻击(比如,一些含有恶意脚本的URL),持久型攻击(将恶意脚本提交到被攻击网站的数据库中) # 什么是CSRF攻击 跨站请求伪造攻击:顾明思义,是攻击者通过跨站请求,以被攻 ...
分类:
其他好文 时间:
2020-07-19 16:18:27
阅读次数:
76
1.为什么有限域在密码学有很大的应用,而不是无限域? 从计算机执行的角度:有限域中执行的数及运算结果是在有限域中确定的整数,不会有小数的出现;有利于快速计算和处理。 2.认证发送的消息可以就是明文发送。实际中,有些消息不需要加密,但需要认证。 3.针对DES的攻击中,每一轮的轮密钥从56位密码中选取 ...
分类:
其他好文 时间:
2020-07-18 15:47:43
阅读次数:
54
今天介绍raw hammer攻击的原理;这次有点“标题党”了。事实上,raw hammer是基于DRAM内存的攻击;所以理论上,只要是用了DRAM内存的设备,不论是什么cpu(intel、amd,或则x86、arm架构),也不论是什么操作系统(windows、linux、ios、arm等),都可能受 ...
分类:
其他好文 时间:
2020-07-18 00:43:10
阅读次数:
108
0x00 实验环境 攻击机:win10 靶机:Ubuntu18 (docker搭建的vulhub靶场) 0x01 实验引用 Discuz 7.x 6.x版本 0x02 实验目的 学习discuz的部分漏洞原理,并复现该漏洞,为以后的更多的挖洞姿势做准备 0x03 实验步骤 首先是对环境进行搭建,这个 ...
分类:
Web程序 时间:
2020-07-18 00:39:49
阅读次数:
182
SQL注入相关知识整理 SQL注入 什么是SQL注入 SQL注入(Sql Injection ) 是一种将SQL语句插入或添加到应用(用户)的输入参数中的攻击 这些参数传递给后台的SQL数据库服务器加以解析并执行 哪里存在SQL注入? GET POST HTTP头部注入 Cookie注入 任何客户端 ...
分类:
数据库 时间:
2020-07-17 19:49:53
阅读次数:
77
问题:crontab写别的定时脚本就可以执行(比如说每隔一分钟就创建一个txt文件),但是写shell就不知道为什么,反弹不了 但是开启Linux终端窗口单独执行bash shell时候,(不通过redis写shell),就可以再攻击机上监听到shell 环境 :Ubuntu 16 ; kali 2 ...
分类:
系统相关 时间:
2020-07-17 19:38:34
阅读次数:
83
概述 SSRF(Server-Side Request Forgery:服务器端请求伪造)其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制,导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据。数据流:攻击者 >服务 ...
分类:
其他好文 时间:
2020-07-16 21:31:26
阅读次数:
79
02第一次需求 玩家有很多属性,例如:身高,性别 blalalala ,玩家可以攻击其他玩家。产品狗 YY妹子写程序也是很利索,一天就把程序搞定了,而且还抽象出一个palyer的基类出来,堪称高级程序员必备技能 //玩家的基础抽象类 abstract class Player { public st ...
分类:
其他好文 时间:
2020-07-16 21:20:58
阅读次数:
58
1.React DOM 使用 camelCase(小驼峰命名)来定义属性的名称,而不使用 HTML 属性名称的命名约定。例如,JSX 里的 class 变成了 className,而 tabindex 则变为 tabIndex。 2.JSX 防止注入攻击:React DOM 在渲染所有输入内容之前, ...
分类:
其他好文 时间:
2020-07-16 12:30:33
阅读次数:
105
#什么是SSRF漏洞 SSRF(服务器端请求伪造)是一种由攻击者构造请求,服务器端发起请求的安全漏洞,所以,一般情况下,SSRF攻击的目标是外网无法访问的内部系统。 #SSRF漏洞形成原理。 SSRF的形成大多数是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤和限制,比如操作服 ...
分类:
其他好文 时间:
2020-07-16 12:04:17
阅读次数:
56
