【安全day_01】

1伪装 2捆绑 3免杀 4上线@软件打包流程

基础模块(html/js/php/python/java/mysql/redis/linux相关/shell/iptables/awk)@安全基础目录
web漏洞模块(xss/sql/inject/include/ssrf/CSRF/…)
内网渗透(黄金白银票据/NTML RELAY/在域下委派攻击非委派/横向渗透等/代理)
应急响应(Windows、linux响应)
高级知识点(python编写一些简单安全工具/java/php反序列化,木马查杀)
中间件漏洞(apache/nginx/tomcat/docker/k8s)
CTF题目讲解()
#软件逆向
环境WAMP、LAMP
Windows Linux Apache MySQL PHP
xss反射型漏洞,存储型漏洞

xss-leaks:新颖,超时代,查询字符

cookie:
seesion:平行权限漏洞 逻辑漏洞
seesion:用户名+邮箱+登陆时间
uid

csp是防止xss攻击的重要手段
内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS (en-US)) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。

href里面放的url地址,所以遵循urlcode@web基础

div盒子

web前端
a标签 超链接,可以跳转想去的网站
href和target两个
href定义想去的地址,记住必须写好协议,例如http,https或ftp等
img:向页面嵌入图片
src图片地址,有相对路径、绝对路径 alt图片出错后的提示信息 onerror:图片不存在时报错
p:块级元素,独占一行
span:行级元素,写满一行才进行换行

css三种写法
1内联样式,在HTML元素中使用"style" 属性;
2嵌套样式 ,在HTML文档头部 head 区域使用 style 元素 来包含CSS代码;
3外联样式,使用外部 CSS文件
id全局唯一性,class可以重复引用
self原窗口,blank新窗口
ul>li无序列表 ol>li有序列表
form表单
method(传参)方式有两种:get、post get:明文,在url地址栏显示
action提交地址:后端提交地址
type:规范输入格式
input输入框,行级元素
required布尔属性,是否为必填。
name:控件的名称,主要用于向服务器提交数据时,控件键值对的键名。注意,只有设置了name属性的控件,才会向服务器提交,不设置就不会提交
form:关联表单的id属性
disabled布尔属性,是否禁用该控件。一旦设置,该控件将变灰,用户可以看到,但是无法操作。
type:
text普通文本;
maxlength:可以输入的最大字符数;minlength:可以输入的最小字符数,
pattern:用户输入必须匹配的正则表达式,
placeholder:输入字段为空时,用于提示的示例值
size:表示输入框的显示长度有多少个字符宽
button:是没有默认行为的按钮
search:是一个用于搜索的文本输入框
submit:是表单的提交按钮
image:表示将一个图像文件作为提交按钮
reset;是一个重置按钮
checkbox:是复选框,允许选择或取消选择该选项
radio:是单选框,表示一组选择之中,只能选中一项
email:是一个只能输入电子邮箱的文本输入框
password:是一个密码输入框。用户的输入会被遮挡
file:是一个文件选择框,允许用户选择一个或多个文件,常用于文件上传功能
hidden:是一个不显示在页面的控件,用户无法输入它的值,主要用来向服务器传递一些隐藏信息。比如,CSRF 攻击会伪造表单数据,那么使用这个控件,可以为每个表单生成一个独一无二的隐藏编号,防止伪造表单提交
br:换行
hr:分割线
strong:加粗
s:删除线
iframe:网页中嵌入网页,可绕过xss验证
svg:画图
CSRF 攻击会伪造表单数据

你可能感兴趣的:(安全,安全)