xss外带cookie攻击 写在本文之前:本文为小灯自主学习xss外带内容的总结与思考。 一.概念 XSS 的 Cookie 外带攻击就是一种针对 Web 应用程序中的 XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在 XSS 攻击中注入恶意脚本,从而窃取用户的 Cookie 信息。攻击者通过已有的xss漏洞在浏览器注入恶意代码,并将受害者的 Cookie 数据上传到攻击者控制的服务器上,这就是xss外带cookie攻击的核心。 二.攻击姿势 xss外带cookie攻击姿势与xss基本无异,区别在于在使用XSS语句将Cookie外带到攻击者IP地址前,需要在攻击机上起一个http协议,
PHP反序列化漏洞 前言:我写这个的目的主要是由于我在看题时看到了相关内容,处于新手期想要广泛获取知识,想由此激励自己学习php反序列化漏洞的相关知识,并总结学习心得与经验。 0.入坑题:攻防世界web(unserialize3) ps:初见这题时我什么概念都不懂,整道题均由ds老师赞助完成(doge) 我们先由这道题引出相关内容吧: 题目给出了这个: 123456class xctf{public $flag = '111';public function __wakeup(){exit('bad requests');
来几个writeup 这里将长期更新我作为新手遇到的有趣的题目的个人做题想法与见解,不定期更新,写手水平较菜,有问题请提出哦。 一.攻防世界 1.php2(web) 首页我们可以看到: Can you anthenticate to this website? 在这里我们首要想到尝试访问首页和一些关键目录及敏感文件 1234567891011/index.phps /login.phps /admin.phps /config.phps /flag.phps /backup.phps /index.php.bak /login.php.bak /index.php~ /.index.ph
流量分析 前言 流量分析在misc赛题中常常出现,个人认为有点意思,遂写以下个人总结() eg. buuctf ——wireshark,被嗅探的流量(比较基础) 2025 RCTF ——Shadows of Asgard 由于个人水平有限,属于新手,出现错误请见谅()后续会不断完善~~(如果记得的话)~~ 一.定义: 流量分析(Traffic Analysis)是指对网络流量数据进行分析和解释,以获得有关网络中通信的信息和情报。这种技术可以用于网络安全、网络管理和网络优化等领域。 网络流量包含了许多有关网络通信的细节信息,如源IP地址、目标IP地址、端口号、协议类型
SQL注入 一.前言 SQL注入(SQL Injection)是一种常见的Web安全漏洞,形成的主要原因是web应用程序在接收相关数据参数时未做好过滤,将其直接带入到数据库中查询,导致攻击者可以拼接执行构造的SQL语句。那什么是SQL了?结构化查询语言(Structured Query Language,缩写:SQL),是一种关系型数据库查询的标准编程语言,用于存取数据以及查询、更新、删除和管理关系型数据库(即SQL是一种数据库查询语言) 注入产生的原因是后台服务器在接收相关参数时未做好过滤直接带入到数据库中查询,导致可以拼接执行构造的SQL语句 SQL注入漏洞的本质为数据库层面的RCE
xss基础 一.xss概述 1.定义: XSS(Cross Site Scripting)攻击全称跨站脚本攻击,是为不和层叠样式表 (Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 成因:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植 入到提供给其它用户使用的页面中,而程序对输入和输出的控制不够严格,导致“精心构造” 的脚本输入后,再输到前端时被浏览器当作有效代码解析执行从而产生危害。当受害者访问 这些页面时,浏览器会解析并执行这些恶意代码。 XSS漏洞通常是通过php的输出函数将javascript代
PHP伪协议 一.PHP支持的伪协议 1234567891011121 file:// — 访问本地文件系统2 http:// — 访问 HTTP(s) 网址3 ftp:// — 访问 FTP(s) URLs4 php:// — 访问各个输入/输出流(I/O streams)5 zlib:// — 压缩流6 data:// — 数据(RFC 2397)7 glob:// — 查找匹配的文件路径模式8 phar:// — PHP 归档9 ssh2:// — Secure Shell 210 rar:// — RAR11 ogg:// — 音频流12 expect:// — 处理交互式的流
HTTP HTTP概述 HTTP 是一种用作获取诸如 HTML 文档这类资源的协议。它是 Web 上进行任何数据交换的基础,同时,也是一种客户端—服务器(client-server)协议。HTTP 是一种应用层的协议,通过 TCP 或 TLS(一种加密过的 TCP 连接)来发送。 请求是由接受方——通常是 Web 浏览器——发起的。完整网页文档通常由文本、布局描述、图片、视频、脚本等资源构成。客户端与服务端之间通过交换一个个独立的消息(而非数据流)进行通信。由客户端发出的消息被称作请求(request),由服务端发出的应答消息被称作响应(response)。 HTTP消息结构 客户端请
Robots协议 Robots 协议(也称为爬虫协议、机器人协议等)是网站与爬虫之间的一种默契约定,用于指导爬虫哪些页面可以抓取,哪些不可以抓取,从而保护网站的数据隐私、性能以及避免过度抓取对服务器造成负担。其本质是一个放置在网站根目录下的文本文件(通常命名为 robots.txt),里面包含了一系列规则,告诉搜索引擎爬虫或其他网络爬虫在抓取网站页面时应遵循的指令。 为什么需要 Robots 协议? 保护网站隐私和敏感信息:某些页面可能包含用户个人数据、内部运营数据、未公开的内容等,网站管理员可以通过 Robots 协议阻止搜索引擎或其他爬虫获取这些敏感信息,防止信息泄露。 控制爬虫访问频