- 博客(58)
- 收藏
- 关注
RSS订阅
原创 burpsuite安装与入门使用
本文简要介绍了Java环境和BurpSuite的安装配置流程。主要内容包括:1)安装Java并配置环境变量;2)安装BurpSuite抓包工具;3)详细说明BurpSuite的使用方法,重点介绍了代理设置、证书下载等配置步骤,使工具能够抓取HTTPS流量;4)演示了如何通过Forward放行请求或Drop丢弃请求来操控流量。文中还指出,未配置证书时BurpSuite只能抓取HTTP网站,配置后即可抓取HTTPS流量。最后提醒在抓包未放行时页面不会显示,需关闭抓包才能正常访问网站。
2025-06-07 14:46:35
220
原创 http头部注入攻击
可进行注入的http头,必然是与数据库有连接的。与数据库有连接,才能经过sql语句,修改后报错。请求头用于传递额外的信息,如浏览器信息、Cookie、内容类型等。HTTP(HyperText Transfer Protocol)请求由 。)中包含,用于发送数据(如表单数据、JSON、文件等)。在浏览器的开发者模式可以查看详细信息。请求头和请求体之间必须有一个空行(组成,多个头字段用换行符分隔。注意改动的是POST不是GET。),用于分隔头部和正文。仅在某些请求方法(如。点击信息,会有一个弹窗。
2025-06-06 16:04:25
1437
原创 COOKIE注入攻击
将admin改为abc' union select 1,2,group_concat(schema_name) from information_schema.schemata# 是服务器发送到用户浏览器并保存在本地的一小段数据(通常不超过 4KB)。浏览器会在后续请求中自动携带 Cookie,用于实现。 的形式传输,并可以附加多个属性(如过期时间、作用域等)。浏览器在后续请求同一网站时,通过 HTTP 请求头(::->帮助Web站点保存有关访问者的信息。)自动附带该网站的 Cookie。
2025-06-05 11:46:39
975
原创 更新密码--二阶注入攻击的原理
用户注册的特殊账号会再更新密码的过程中引起二阶注入攻击。这种防御方式能同时防护一阶和二阶SQL注入攻击。,必须通过参数化查询处理。
2025-05-30 17:37:19
1071
原创 数据库暴露--Get型注入攻击
摘要:本文通过创建漏洞演示环境,详细分析了GET型SQL注入攻击的原理、实施步骤及防护方案。实验使用PHP+MySQL搭建存在注入漏洞的书籍查询系统,演示了通过闭合SQL语句、UNION查询等方式逐步获取数据库结构及敏感数据的过程。针对不同场景,文章提出两种防护方案:MySQLi参数化查询(使用bind_param)和PDO参数化查询(支持命名参数与类型绑定),重点解析了PDO方案通过强制类型转换、禁用预处理模拟等机制实现的安全防护。最后强调应结合输入验证、最小权限原则等防御措施构建多层次安全体系。
2025-05-30 17:04:44
1182
原创 万能密码登录-Post型注入攻击
1.创建数据库1.1创建SQL脚本1.2将脚本文件导入到数据库2.建立基于session验证的用户登录网站2.1创建用户登录页面login.html2.2设置编码方式为utf8并保存2.3登录验证后端页面数据库连接功能的文件con_database.php2.4欢迎页面2.5销毁页面2.6功能测试3.万能密码SQL注入攻击测试3.1用户名注入编辑4.万能密码SQL注入防护4.1使用正则表达式限制用户输入4.2使用php转义函数4.3MyS
2025-05-25 16:48:57
579
原创 winsever2016配置Apache、Mysql、php
本文介绍了MSDN原版虚拟机系统的下载与配置要点:1) 系统密码需包含大写字母、数字及小写字母;2) 详细说明Apache服务器配置问题,包括默认网关设置(192.168.232.2)和因未安装PHP导致的模块加载错误;3) 强调需安装Visual C++ 2015运行环境;4) 操作顺序应为先启动MySQL再启动Apache;5) 提醒注意PHP测试文件扩展名的准确性。文中还提及了PHP7.1.16版本的兼容性问题及解决方案。
2025-05-24 17:10:33
608
原创 入侵检测SNORT系统部署过程记录
入侵检测系统(IDS)是一种主动安全防护工具,通过收集和分析网络或系统中的关键信息,检测违反安全策略的行为和攻击迹象。IDS的核心组成部分包括检测器、分析器和用户接口,分别负责数据收集、分析和用户交互。IDS可分为基于网络(NIDS)和基于主机(HIDS)的系统,分别监控网络流量和主机日志。Snort是一种开源的轻量级网络入侵检测系统,支持多种平台,能够通过规则匹配检测多种入侵行为。Snort的架构包括数据包解析器、检测引擎和日志/报警子系统,采用模块化设计,易于扩展。
2025-05-14 16:45:08
913
原创 IIS配置SSL
再用http访问本机ip就不行了。如果搜不到iis,要先开。把原本的http绑定删了。用http访问本机ip。只能用https访问了。cmd中找到本机ip。
2025-05-07 15:13:02
367
原创 Wireshark抓账号密码
训练内容:1. 安装Ethereal或者Wireshark,熟悉网络嗅探器的使用方法;2. 实现浏览器与IIS服务器的ssl安全访问;3. 利用网络嗅探器截获浏览器访问IIS服务器之间数据包,包括有ssl安全连接(https方式)与没有ssl(http方式)两种情况;过程指导:1. 下载安装(需要安装)或者;2. 访问http协议类型的web服务器(例如:学校门户网站、图书馆、教务处、其他公网门户或者论坛服务器)用注册账号和密码进行登录(无SSL安全连接。
2025-05-07 14:25:27
835
原创 验证加密与数字签名实验
Person1和Person2通过安全渠道(如U盘、面对面交换)互相传输公钥文件(`Person1_pub.dat`和`Person2_pub.dat`)。Person2随机生成一个810位的DES密钥(如 `X5k9pL2`),并保存为 `des_key.txt`。Person2在发送后删除明文`message.txt`和`sign_by_Person2.dat`。输出文件:`des_key.txt`(得到密钥 `X5k9pL2`)`encrypted_des_key.dat`(RSA加密的DES密钥)
2025-04-30 17:42:39
542
原创 安全邮件系统的Maple实现详解
1. 通过开放信道安全发送加密消息2. 防止窃听3. 接收方能验证发送方身份4. 确保消息未被篡改(完整性和真实性)
2025-04-23 16:59:40
571
原创 Unity入门2 背景叠层 瓦片规则
放在Assets里面新建瓦片地图,palettestile 瓦片palettes调色板上下窗口是分开的拖进这个格子窗瓦片太碎,要封装装好之后,只是把瓦片放上去了,但是还没有画布,显示是这样的新建“画布”新建瓦片地图。
2025-01-24 14:19:32
653
原创 QT 将单线程改为线程池 端口扫描3.5
信号发出和槽的调用当ScanTask对象(task)在其run()方法中完成端口扫描后,会发出send_scan_signal信号,传递端口号和状态(打开或关闭)。由于send_scan_signal信号与recv_result槽函数之间建立了连接,Qt 会自动调用recv_result槽函数,并将信号中传递的参数(端口号和状态)传递给它。
2025-01-08 12:18:57
1104
原创 QT 下拉菜单设置参数 起始端口/结束端口/线程数量 端口扫描4
要先在mainwindow中new出这个函数中的两个参数,就可以用了。这个函数是写在dialog里面的,会在mainwindow中调用。由于主体代码已经写完,只需要更改参数的获取即可。给主界面类添加调用对话框类的功能。mainwindow.h中新增。点击菜单项可以弹出对话框窗体。
2025-01-07 23:28:49
558
原创 QT实现 端口扫描暂停和继续功能 3
为按钮pushButton_Stop添加clicked事件,功能为暂停扫描,并在暂停后显示继续按钮,点击继续按钮之后继续扫描
2025-01-06 20:38:40
713
原创 用QT实现 端口扫描工具1
这是一个环回地址,指向本地计算机。使用这个地址可以在网络上与本机进行通信,而不需要通过网络接口。由于扫描功能没有qt自带的对应函数,所以要自己添加,无法像给quit添加槽一样直接添加。我的遮挡我一直以为是保存更新的问题,其实只是框框拖小了,拖大一点就不遮挡了。安装在线QT,尽量是完整地自己进行安装,不然会少包。如果显示找不到部件,有可能是大小写这种微妙的差别。这说明cmd的结果与我运行的结果是一致的。程序发布集合,依赖关系都解决好了。在构造函数中添加如下代码,设置。的监听范围更广,包含了。
2025-01-04 09:56:54
940
原创 安装java
输入cmd命令,并按下回车键,然后输入java,按下回车键,出现如下页面,则代表JDK安装成功。版本,java -version。
2024-03-07 17:18:35
1136
1
【网络协议分析】Ethereal抓包工具的Windows平台安装与使用教程:涵盖抓包、过滤及协议插件配置
2025-05-06
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人