XSS 存在的三个条件 网站应用程序必须接受用户的输入信息 用户的输入会被网站用来创建动态内容 用户的输入验证不充分 输入过滤,输出转义:检查用户输入含有攻击信息,尽可能过滤攻击信息;如果不能判断哪些是攻击信息,那么要使得显示的时候不能发送攻击 输入过滤 使用黑名单,从用户的输入中删除 <scrip ...
分类:
Web程序 时间:
2020-01-27 15:25:37
阅读次数:
83
01. 程序的三大流程 在程序开发中,一共有三种流程方式: 顺序 —— 从上向下 ,顺序执行代码 分支 —— 根据条件判断,决定执行代码的 分支 循环 —— 让 特定代码 重复 执行 02. 循环基本使用 循环的作用就是让 指定的代码 重复的执行 循环最常用的应用场景就是 让执行的代码 按照 指定的 ...
分类:
其他好文 时间:
2020-01-27 09:46:36
阅读次数:
84
less-26 从第26关开始,我的sqli-labs就在docker上运行了,因为windows中阿帕奇对空格的转义有问题 通过源码可以看到有很多过滤,包括空格 or和and。 方法: or可以用||替换 and可以用&& 注释符用;%00替代 空格用%a0替代 所以第一种办法:updatexml ...
分类:
数据库 时间:
2020-01-27 00:09:44
阅读次数:
96
发布内容需要的Markdown语法 [toc] 1.概述 1.1设计理念 Markdown易于阅读,方便创作web文档,利于各平台无缝分发。 Markdown语法灵感最大的来源还是纯文本email的格式,完全由标点符号标签组成的纯文本。 Markdown文件应该以纯文本形式原样发布,不应该包含标记标 ...
分类:
其他好文 时间:
2020-01-26 18:55:19
阅读次数:
78
| 字符 | 描述 | | : : | : | | | 将下一个字符标记为一个特殊字符、或一个原义字符、或一个向后引用、或一个八进制转义符。例如,“ ”匹配字符“ ”。“ ”匹配一个换行符。串行“ ”匹配“ ”而“ ”则匹配“ ”。 | | | 匹配输入字符串的开始位置。如果设置了RegExp对象的 ...
分类:
其他好文 时间:
2020-01-26 14:30:09
阅读次数:
86
shell中的通配符(元字符),表示不是本意 常用的元字符有: * 匹配任意多个字符 ? 匹配任意一个字符 [] 匹配括号中任意一个字符 \ 转义符,让元字符回归本意 {} 集合 touch file{1..5} mkdir -p /home/{333/{a,b},444} () 在子shell中执 ...
分类:
系统相关 时间:
2020-01-25 23:37:45
阅读次数:
131
less-25 前置基础知识:后面的关卡涉及到WAF绕过: 主要有三种方式:白盒绕过、黑盒绕过、fuzz测试 网上sql注入WAF绕过的教程有很多,可以自己查询,总之就是比谁思路猥琐 根据第25关下面的提示和代码,我们发现他对or和and(不区分大小写)转义成了空格 第一种办法: 采用双写的方式 这 ...
分类:
数据库 时间:
2020-01-25 23:33:19
阅读次数:
100
1. 模板介绍 1.1 模板的功能 产生html,控制页面上展示的内容。模板文件不仅仅是一个html文件。 模板文件包含两部分内容: 静态内容:css、js、html。 动态内容:用于动态去产生一些页面内容。通过模板语言来产生。 1.2 模板文件的使用 通常是在视图函数中使用模板产生html内容返回 ...
分类:
编程语言 时间:
2020-01-25 20:51:06
阅读次数:
99
less-23 23关和第1关很像,但是观察代码发现他对--+和#都进行了转义,不能再用这种方式注释 可以用新的注释符:;%00或者and和or语句进行闭合 语句:http://192.168.5.100/sqli-labs/Less-23/?id=0' union select 1,2,group ...
分类:
数据库 时间:
2020-01-24 21:17:01
阅读次数:
114
目录 1.概念 2.实际编写方法 3.编写注意事项 1.定时任务概念 1.作用 1) 类似生活中闹钟 2) 可以自动完成操作命令 3)自动清理磁盘 4)自动的进行时间同步更新 ntpdate xxx 2.软件种类 1)cronie 实现定时任务功能 2)atd 实现定时任务功能 只能一次设置定时功能 ...
分类:
其他好文 时间:
2020-01-24 16:00:23
阅读次数:
88
