安全渗透初级知识总结

Day1:

xss详解:web攻防之XSS攻击详解——XSS简介与类型 - 知乎 (zhihu.com)

Cookie:身份验证

网页元素属性:

id:

class:样式名称

console.log(div_class);----打印标签

tabindex="0"---这是第一个获得焦点的

 Hidden---网页隐藏

< p Contenteditable ="true"> ---是否允许用户修改内容

 DNS:端口53

pass:后门and反弹木马:

后门就是Boss程序---电脑中运行的程序

反弹木马---可以控制对方内网的机器

Day2:

标签:

---这是一个可收起标签

---这也是一个可收起标签,当可切换时on就会产生安全漏洞(每当切换时就会产生一个函数)函数中可写一个恶意的代码

 <p>hellop>

 

 <p>hellop>

pass:

hex()表示的是十六进制

Bin()表示的是二进制

Oct()表示八进制

Ord()表示的是十进制

<>十六进制---当看到这个的时候就要注意是<>(虽然可在页面上展示出来,但是无法被编译)

字符编码包括:

html实体编码、unicode、urlcode、utf8

unicode编码:会在字符的十六进制ASCII码前加上百分号(%)

Ord(' \' ')---转译单引号的ac值

//  闭合 程序  单双引号成对出现

URL:网址

一个端口代表一个服务:

组成部分:端口(http:80、ftp:20/21、https:443、telnet:23 smtp mail:25)

Ssh 22、Dns 53、Dhcp 67 68

pass:ARP协议分类---正向ARP,反向ARP,免费ARP

http:80  Pop3:110  https:443  ladp: 389  域控制器  Mysql  3306   sqlserver :1443 c#

oracle:1521   Windows远程连接端口:  3389  redis(nosql数据库):  6379

主机:

Request resonse 访问时后返回一个状态码,状态码是有不同的状态的 code 200 404 403(权限不够) 401 unauthorized(未授权)  500  服务器错误

30 重定向   重新指定方向

Eg: 过程:登陆 login.html 输入账号密码  正确  网页index.html

查询参数:get传参的一个值

锚点:做个标记网页可以自动滚动到锚点的位置,例如标签

wordpress4.0 xss 4字节截断漏洞(当4字节被截断出来的时候,就可以做4字节的截断漏洞---如图形化表情)

编码总结:

ASCII   URLcode   html 实体编码    Unicode  utf8

$xss = str_replace(array("(","),"&","\\","<",">","'"),'',$xss);

防止你执行函数 &防止你使用html实体编码 防止你使用\u unicode(防止你使用Unicode进行编码)  <(防止书写js这样的标签)

1.闭合双引号

--标签用来跳转,在a标签里可以使用javascript伪协议可以放到href协议里进行执行(实现弹窗)

Eg: oupeng

Javascript 协议 不能被urlcode编码,但是在html中可以被实体编码

---编写一个语义化标签

语义化标签:SEO

---行级标签(不会换行)[可以转化为块级元素]


---换行


---水平线分隔符

······

你可能感兴趣的:(安全,前端,javascript)