ctfshow—2023愚人杯wp
ctfshow——2023愚人杯部分wp
pikachu之SQL注入
SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入
musl pwn 入门 (1)
musl pwn 入门(1)——基本知识介绍
TLS1.0协议漏洞修复
远程服务接受使用TLS 1.0加密的连接。TLS 1.0的现代实现减轻了这些问题,但是像1.2和1.3这样的TLS的新版本是针对这些缺陷而设计的,应该尽可能使用。PCI DSS v3.2要求在2018年6月30日之前完全禁用TLS 1.0,但POS POI终端(及其连接的SSL/TLS终端点)除外,
IP地址规划方法
由于地址设计时主机号长度为Y=4,那么每一个子网中最多有(16-2=14)个主机,也就是说相邻子网的主机地址的增量为16.例如,我们现在有一个C类地址192.168.1.0,Y=4,那么划分子网后的第一个网络号为:192.168.1.0,那么第二个网络号为:192.168.1.16,第三个网络号为:
SpringSecurity:认证和自定义登陆界面
首先来看一下Spring Security的自定义界面,包含了一个重要的东西他是隐藏的,为了防止 CSRF 攻击而存在的。从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,Spring Security CSRF 会针对 PATCH,
如何使用kali操作系统进行ddos攻击
使用kali操作系统,对网站进行ddos攻击。
【SQL注入漏洞-06】HTTP头部注入靶场实战
常见的sql注入一般是通过请求参数或者表单进行注入,HTTP头部注入是通过HTTP协议头部字段值进行注入。updatexml()函数回显字符长度有限,先获取用户数量,再逐一获取用户名和密码需要找到注入点 才能够闭合引号的注入参数。
Web 攻防之业务安全:密码找回安全案例总结.
业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库,中间件等)、业务系统自身(软件或设备)、业务所提供的服务安全;狭义的业务安全指业务系统自有的软件与服务的安全。
CTF----Web真零基础入门
前置知识:TCP/IP体系结构(IP和端口):IP是什么:是计算机在互联网上的唯一标识(坐标,代号),用于在互联网中寻找计算机。访问网站时:域名会通过DNS(解析服务)解析成IP。所以,互通的前提条件就是双方都能找到对方的IP地址。内网(局域网)IP和公网(互联网)IP:内网IP:路由以内的网络,可
Shiro-721反序列化漏洞
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序,用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的co
弱口令漏洞与验证码绕过——渗透day04
弱口令漏洞与验证码绕过——渗透day04
gpgcheck介绍
gpgcheck是gpg签名是否开启的选项名称,1是开启,0是不开启,一般内部部署软件包下载可以关掉。gpg签名主要用来在Linux实现官方发布的包的签名机制,主要为了软件下载使用的安全。添加gpgcheck有效的防止了软件包被篡改的情况。
连接hack the box教程
毕业论文终于告一段落了,虽然不是终版,但是终于能有点时间回来接着学点东西了,今天来连接hack the box靶场。首先打开hack the box网址,然后注册,登录进去,开启靶场的话需要连接到hack the box。看右上角。点击右上角,能看到有三种连接方式我是使用kali进行连接的,所以点击
《信息安全技术》学习笔记02
计算机病毒是一种计算机程序,它通过修改其他程序把它自己的一个拷贝或其演化的拷贝插入到其他程序中,从而感染它们。
护网面试总结
怎么确定一个网站是不是站库分离(1)查询web服务器名LENOVO-GH*****—select @@servername;(2)查询数据库服务器名DESKTOP-1HV****—select host_name();对比两个查询结果,即可判断。相同则同站同库,不同就是站库分离知道那些防火墙设备常见
Wifi 认证,关联,四次握手(WPA/WPA2/WPA3-SAE)
SAE 采用了“互联网工程任务组(IETF)”RFC7664 规范中定义的 “蜻蜓(Dragonfly)” 握手协议,将其应用于 Wi-Fi 网络以进行基于密码的身份验证。SAE 采用了“互联网工程任务组(IETF)”RFC7664 规范中定义的 “蜻蜓(Dragonfly)” 握手协议,将其应用于
DVWA靶机安装教程
DVWA安装教程
ARP渗透与攻防(七)之Ettercap Dns劫持
DNS是Domain Name System的缩写, 我们称之域名系统。首先它是远程调用服务,本地默认占用53端口,它本身的实质上一个域名和ip的数据库服务器,他要完成的任务是帮我们把输入的域名转换成ip地址,之后通过ip寻址连接目标服务器。DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析
casdoor简介
简要介绍一下casdoor
