SQL注入的一些理解 SQL注入是一种常见的Web安全漏洞,在OWASP Top10 2021中排名第三,主要成因是在前后端数据交互过程中,后端没有对前端传参做严格的判断,导致其传入的恶意数据被拼接到SQL语句中被当作SQL语句的一部分执行,从而导致数据库甚至整个服务器受损 常见注入方法联合查询联合查询适合于有显示位的注入,即页面某个位置会根据我们输入的数据的变化而变化 构造查询语句使union select前面的 2022-11-26 #漏洞原理
Linux中的SUID、SGID、SBIT权限介绍 在使用Linux服务器时,偶然发现有些可执行文件有一些除了rwx权限之外的权限s,之前了解过有一些特殊的文件权限,是使用chattr设置,lsattr查看的一些特殊文件属性(详见文件管理),但是这种s权限不在隐藏属性中,于是好奇心驱使下特地研究一下。 2022-11-19 #Linux #提权
顶级域名、子域名收集 近日针对项目甲方的网站资产使用项目研发的逻辑漏洞扫描器进行扫描,需要收集一下甲方的网站子域名列表用于测试,因此记录一下收集的过程。域名是很重要的资产,一个目标暴露在互联网的资产大多以域名的方式访问 2022-11-07 #渗透测试
Python的迭代器、生成器、装饰器 Python三大器可能在平常写代码时会不知不觉的用到,但是却从未系统的学习过,于是乎特意记录一篇,尤其是装饰器,Flask中很常用,但是不是很了解具体的工作原理,有必要了解一下 2022-11-05 #python学习
Python多线程的深入学习 做一个漏洞扫描器的时候偶然听到学长们聊Python的多线程是伪多线程,但是自己第一次知道,之前没有深入去了解过Python多线程具体的底层是什么样子的,遂学习记录一下,一直学习就好了。 2022-10-31 #python学习
CSRF、XSS、SSRF傻傻分不清 OWASP中有两大类型的漏洞类型在前面的学习中没有整理的很明白,分别是客户端请求伪造(CSRF,Cross-Site Request Forgery)和服务端请求伪造(SSRF,Server-Side Request Forgery),XSS(Cross Site Scripting,跨站脚本攻击)。 2022-10-27 #Web安全
OWASP-Top-10-for-2021-学习笔记(下) 继续进行OWASP TOP 10部分的内容的学习,上半部分对前四种类型的分类进行了学习记录,这次继续对后面几种类型进行学习 2022-10-17 #Web安全
什么是Nginx反向代理 互联网冲浪的时候,感觉自己的一切言行都被打上了指纹,于是乎打算自己搞一个即时通讯工具玩的时候发现一个开源的即时通讯系统openIM,搭建后端的时候发现可以用Nginx反向代理将流量转发到内网的不同主机上以实现负载均衡,瞬时感觉很神奇,接触到了之前不知道的东西,因此学习记录一下以备日后翻阅。 2022-10-15 #后端 #Nginx