wtf0712的博客

XML：可扩展标记语言，用来传输数据和存储数据，它的标签没有被定义，需要自行定义标签是W3C的推荐标准 XML与HTML的差异XML用来传输和存储数据，其焦点是数据的内容HTML用来显示数据，其焦点是数据的外观 XML基本构造 XML注入是通过改写xml的数据内容来实现的 <USER role="guest">User1</...

文件包含将重复使用的函数写到单个文件中，需要使用某个函数时，调用这个文件即可，这种文件调用过程称为文件包含 文件包含漏洞程序开发人员希望代码更灵活，将包含的文件设置为变量，用来进行动态调用，导致客户端可以调用一个恶意文件，造成文件包含漏洞分为：本地文件包含漏洞和远程文件包含漏洞 文件包含漏洞成因网站功能需求，会让前端用户选择需要包含的文件（或者在前端的功能中使用了包...

CSRF(跨站请求伪造)攻击者盗取受害者的cookie凭证,以受害者的名义发送恶意请求，对服务器来说这个请求完全是合法的，让受害者亲自去执行攻击者所布置的操作，且真个过程受害者不会察觉 CSRF漏洞成因：网站的cookie在浏览器中不会过期，只要不关闭浏览器或者退出登录，之后只要访问这个网站，都会默认你已经登录的状态。在此期间，攻击者发送了构造好的csrf脚本，或包含csrf脚本的链接...

文件上传漏洞是指：用户上传了一个可执行的脚本文件，并通过该文件获得了执行服务端命令的权限 文件上传漏洞测试过程：1 进行正常的上传，期间可抓包查看2 尝试上传不同类型的恶意脚本文件，如JSP PHP文件等3 查看是否在前端做了上传限制，如大小，格式，并尝试进行绕过4 利用报错或者猜测等方式获得木马路径，访问 dvwa文件上传漏洞演示：1 绕过大小限制通过fi...

网站挂马是指：黑客通过入侵或者其他方式控制了网站的权限，在网站的web页面中插入网马，用户在访问被挂马的网站时也会访问黑客构造的网马，网马再被用户浏览器访问是就会利用浏览器或者相关插件的漏洞，下载并执行恶意软件。挂马流程：制作木马------木马免杀------制作网页木马------入侵网站------植入网页木马-----网页浏览者遭受攻击 框架挂马<iframe s...

gbk编码原理一个字符占1个字节两个字节以上叫宽字节设置“set character_set_client=gbk”（gbk编码设置），通常导致编码转换的注入问题，尤其是使用php连接mysql数据库的时候一个gbk汉字占两个字节，取值范围是（编码位数）：第一个字节是（129-254），第二个字节（64-254）当设置gbk编码后，遇到连续两个字节，都符合gbk取值范围，会自动...