安全渗透初级知识总结
Day1:
xss详解:web攻防之XSS攻击详解——XSS简介与类型 - 知乎 (zhihu.com)
Cookie:身份验证
网页元素属性:
id:
class:样式名称
console.log(div_class);----打印标签
tabindex="0"---这是第一个获得焦点的
Hidden---网页隐藏
< p Contenteditable ="true"> ---是否允许用户修改内容
DNS:端口53
pass:后门and反弹木马:
后门就是Boss程序---电脑中运行的程序
反弹木马---可以控制对方内网的机器
Day2:
标签:
<details open>---这是一个可收起标签
<details οntοggle="alert(1)">---这也是一个可收起标签,当可切换时on就会产生安全漏洞(每当切换时就会产生一个函数)函数中可写一个恶意的代码
<p>hello</p>
<!-- 等同于html实体编码十进制 -->
<p>hello</p>
pass:
hex()表示的是十六进制
Bin()表示的是二进制
Oct()表示八进制
Ord()表示的是十进制
<>十六进制---当看到这个的时候就要注意是<>(虽然可在页面上展示出来,但是无法被编译)
字符编码包括:
html实体编码、unicode、urlcode、utf8
unicode编码:会在字符的十六进制ASCII码前加上百分号(%)
Ord(' \' ')---转译单引号的ac值
// 闭合 程序 单双引号成对出现
URL:网址
一个端口代表一个服务:
组成部分:端口(http:80、ftp:20/21、https:443、telnet:23 smtp mail:25)
Ssh 22、Dns 53、Dhcp 67 68
pass:ARP协议分类---正向ARP,反向ARP,免费ARP
http:80 Pop3:110 https:443 ladp: 389 域控制器 Mysql 3306 sqlserver :1443 c#
oracle:1521 Windows远程连接端口: 3389 redis(nosql数据库): 6379
主机:
Request resonse 访问时后返回一个状态码,状态码是有不同的状态的 code 200 404 403(权限不够) 401 unauthorized(未授权) 500 服务器错误
30 重定向 重新指定方向
Eg: 过程:登陆 login.html 输入账号密码 正确 网页index.html
查询参数:get传参的一个值
锚点:做个标记网页可以自动滚动到锚点的位置,例如标签
wordpress4.0 xss 4字节截断漏洞(当4字节被截断出来的时候,就可以做4字节的截断漏洞---如图形化表情)
编码总结:
ASCII URLcode html 实体编码 Unicode utf8
$xss = str_replace(array("(","),"&","\\","<",">","'"),'',$xss);
防止你执行函数 &防止你使用html实体编码 防止你使用\u unicode(防止你使用Unicode进行编码) <(防止书写js这样的标签)
1.闭合双引号
<a>--标签用来跳转,在a标签里可以使用javascript伪协议可以放到href协议里进行执行(实现弹窗)
Eg: <a href="javascript:alert(1)">oupeng</a>
Javascript 协议 不能被urlcode编码,但是在html中可以被实体编码
<div>
<article>---编写一个语义化标签
语义化标签:SEO
<span>---行级标签(不会换行)[可以转化为块级元素]
<br>---换行
<hr>---水平线分隔符
······
<from>
相关文章:
安全渗透初级知识总结
Day1: xss详解:web攻防之XSS攻击详解——XSS简介与类型 - 知乎 (zhihu.com) Cookie:身份验证 网页元素属性: id: class:样式名称 console.log(div_class);----打印标签 tabindex"0"---这是…...
rocketmq客户端本地日志文件过大调整配置(导致pod缓存cache过高)
现象 在使用rocketmq时,发现本地项目中文件越来越大,查找发现在/home/root/logs/rocketmqlog目录下存在大量rocketmq_client.log日志文件。 配置调整 开启slf4j日志模式,在项目启动项中增加-Drocketmq.client.logUseSlf4jtrue因为配置使用的…...
Unity进阶-ui框架学习笔记
文章目录 Unity进阶-ui框架学习笔记 Unity进阶-ui框架学习笔记 笔记来源课程:https://study.163.com/course/courseMain.htm?courseId1212756805&_trace_c_p_k2_8c8d7393c43b400d89ae94ab037586fc 最上面的管理层(canvas) using System…...
Django实现接口自动化平台(十四)测试用例模块Testcases序列化器及视图【持续更新中】
相关文章: Django实现接口自动化平台(十三)接口模块Interfaces序列化器及视图【持续更新中】_做测试的喵酱的博客-CSDN博客 本章是项目的一个分解,查看本章内容时,要结合整体项目代码来看: python django…...
如何高效实现文件传输:小文件采用零拷贝、大文件采用异步io+直接io
一般会如何实现文件传输? 服务器提供文件传输功能,需要将磁盘上的文件读取出来,通过网络协议发送到客户端。如果需要你自己编码实现这个文件传输功能,你会怎么实现呢? 通常,你会选择最直接的方法…...
Docker运行MySQL5.7
步骤如下: 1.获取镜像: docker pull mysql:5.7 2.创建挂载目录: mkdir /home/mydata/data mkdir /home/mydata/log mkdir /home/mydata/conf 3.先启动docker把配置文件拷贝出来: docker run -it --name temp mysql:5.7 /bi…...
-jar和 javaagent命令冲突吗?
当使用 -jar 命令运行 Java 应用程序时,Java 虚拟机 (JVM) 会忽略任何设置的 -javaagent 命令。这是因为 -jar 命令会覆盖其他命令行选项,包括 -javaagent。 这是因为 -jar 命令是用于运行打包为 JAR 文件的 Java 应用程序的快捷方式。它会忽略其他命令…...
LLC和MAC子层的应用
计算机局域网标准IEEE802 由于局域网只是一个计算机通信网,而且局域网不存在路由选择问题,因此它不需要网络层,而只有最低的两个层次。然而局域网的种类繁多,其媒体接入控制的方法也各不相同。 为了使局域网中的数据链路层不致过…...
【MySQL】之复合查询
【MySQL】之复合查询 基本查询多表查询笛卡尔积自连接子查询单行子查询多行子查询多列子查询在from子句中使用子查询 合并查询小练习 基本查询 查询工资高于500或岗位为MANAGER的雇员,同时还要满足他们的姓名首字母为大写的J按照部门号升序而雇员的工资降序排序使用…...
Vue系列第五篇:Vue2(Element UI) + Go(gin框架) + nginx开发登录页面及其校验登录功能
本篇使用Vue2开发前端,Go语言开发服务端,使用nginx代理部署实现登录页面及其校验功能。 目录 1.部署结构 2.Vue2前端 2.1代码结构 2.1源码 3.Go后台服务 3.2代码结构 3.2 源码 3.3单测效果 4.nginx 5.运行效果 6.问题总结 1.部署结构 2.Vue2…...
u盘里的数据丢失怎么恢复 u盘数据丢失怎么恢复
在使用U盘的时候不知道大家有没有经历过数据丢失或者U盘提示格式化的情况呢?U盘使用久了就会遇到各种各样的问题,而关于U盘数据丢失,大家又知道多少呢?当数据丢失了,我们应该怎样恢复数据?这个问题困扰了很…...
Mysql-约束
约束 概念:约束是作用于表中字段上的规则,用于限制存储在表中的数据。 目的:保证数据库中数据的正确、有效性和完整性。 分类: 约束描述关键字非空约束限制该字段的数据不能为nullNOT NULL唯一约束保证该字段的所有数据都是唯一…...
数据结构问答7
1. 图的定义和相关术语 答: 定义:图是由顶点集V和边集E组成,其中V为有限非空集。 相关术语:n个顶点,e条边,G=(V,E) ① 邻接点和端点:无向图中,若存在一条边(i, j),则称i,j为该边的端点,且它们互为邻接点;在有向图中,若存在一条边<i, j>,则称i,j分别为…...
[Spark] 大纲
1、Spark任务提交流程 2、SparkSQL执行流程 2.1 RBO,基于规则的优化 2.2 CBO,基于成本的优化 3、Spark性能调优 3.1 固定资源申请和动态资源分配 3.2 数据倾斜常见解决方法 3.3 小文件优化 4、Spark 3.0 4.1 动态分区裁剪(Dynamic Partition Pr…...
【NLP】使用 Keras 保存和加载深度学习模型
一、说明 训练深度学习模型是一个耗时的过程。您可以在训练期间和训练后保存模型进度。因此,您可以从上次中断的地方继续训练模型,并克服漫长的训练挑战。 在这篇博文中,我们将介绍如何保存模型并使用 Keras 逐步加载它。我们还将探索模型检查…...
视频标注是什么?和图像数据标注的区别?
视频数据标注是对视频剪辑进行标注的过程。进行标注后的视频数据将作为训练数据集用于训练深度学习和机器学习模型。这些预先训练的神经网络之后会被用于计算机视觉领域。 自动化视频标注对训练AI模型有哪些优势 与图像数据标注类似,视频标注是教计算机识别对象…...
【Android知识笔记】UI体系(一)
Activity的显示原理 setContentView 首先开发者Activity的onCreate方法中通常调用的setContentView会委托给Window的setContentView方法: 接下来看Window的创建过程: 可见Window的实现类是PhoneWindow,而PhoneWindow是在Activity创建过程中执行attach Context的时候创建的…...
SpringBoot 整合Docker Compose
Docker Compose是一种流行的技术,可以用来定义和管理你的应用程序所需的多个服务容器。通常在你的应用程序旁边创建一个 compose.yml 文件,它定义和配置服务容器。 使用 Docker Compose 的典型工作流程是运行 docker compose up,用它连接启动…...
SpringBoot整合Elasticsearch
SpringBoot整合Elasticsearch SpringBoot整合Elasticsearch有以下几种方式: 使用官方的Elasticsearch Java客户端进行集成 通过添加Elasticsearch Java客户端的依赖,可以直接在Spring Boot应用中使用原生的Elasticsearch API进行操作。参考文档 使用Sp…...
【R3F】0.9添加 shadow
开启使用shadow 在 canvas 设置属性shadows 在对应的 mesh 中设置 产生阴影castShadow和接收阴影receiveShadow 设置完成之后,即可实现阴影 ...<Canvas shadows > <mesh castShadow ><boxGeometry /><meshStandardMaterial color="mediumpurple&qu…...
CC 开源版完整安装部署指南
CC(Claude-Code-Compiled)开源版完整安装部署指南 前言 CC(Claude-Code-Compiled)是一款基于 Claude 生态的轻量化命令行代码助手工具,基于 Bun 运行时实现高效编译与执行。本文将手把手带你完成环境依赖安装 → 项目构…...
像素时装锻造坊应用场景:NFT项目像素角色皮肤的批量生成方案
像素时装锻造坊应用场景:NFT项目像素角色皮肤的批量生成方案 1. 项目背景与核心价值 像素时装锻造坊(Pixel Fashion Atelier)是一款专为NFT项目设计的像素角色皮肤批量生成工具。它基于Stable Diffusion与Anything-v5技术栈,将传…...
如何建立有利于SEO的网站内容体系_网站 SEO 优化的周期是多长时间
如何建立有利于SEO的网站内容体系 在当今的数字时代,建立一个有利于SEO(搜索引擎优化)的网站内容体系是任何企业或个人在网络上获得成功的关键。一个优化良好的网站不仅能吸引更多的访问者,还能提升品牌的知名度和销售转化率。如…...
AI辅助开发:让快马AI成为你的Git助手,用自然语言搞定复杂版本操作
今天想和大家分享一个特别实用的开发工具思路——用AI来辅助完成那些复杂的Git版本控制操作。作为一个经常要和Git打交道的开发者,我深刻体会到,有些操作虽然Git本身支持,但命令组合起来特别容易出错,尤其是涉及历史版本比较、提交…...
角谷猜想/考拉兹猜想:3N+1
角谷猜想的转化:一切自然数转化为形如3^n-1的自然数???作者: 3n1/3^n-1/GrainShell/谷壳(加壳/脱壳) 2026-04-02 角谷猜想,又叫3N1猜想,又叫collatz,谐…...
城通网盘下载加速终极解决方案:ctfileGet让你的文件传输速度提升10倍
城通网盘下载加速终极解决方案:ctfileGet让你的文件传输速度提升10倍 【免费下载链接】ctfileGet 获取城通网盘一次性直连地址 项目地址: https://gitcode.com/gh_mirrors/ct/ctfileGet 你是否还在为城通网盘下载速度缓慢而烦恼?每次下载大文件都…...
2025年大中华区21个主要城市甲级写字楼市场数据
、大中华区主要城市甲级写字楼市场数据速览(2025年)美通社消息:全球领先的房地产服务公司戴德梁行发布《大中华区写字楼供应/需求前沿趋势》年度报告,针对2025年大中华区21个主要城市甲级写字楼市场的整体表现展开研究,聚焦市场供需关系深入分…...
RexUniNLU GPU推理优化教程:batch_size与max_length调优实测
RexUniNLU GPU推理优化教程:batch_size与max_length调优实测 1. 引言 如果你正在使用RexUniNLU处理大量文本数据,可能会遇到这样的问题:单条推理速度还行,但批量处理时总觉得不够快,GPU利用率也上不去。或者…...
代码随想录算法第五十三天| KamaCoder110字符串迁移、KamaCoder105有向图的完全联通、KamaCoder106海岸线的计算
KamaCoder 110 字符串迁移 题目链接:110.字符串迁移 文档讲解:代码随想录 视频讲解: 字符串迁移 思路与感想:直接卡在读懂题意这一关了,我还纳闷输出结果怎么跟自己理解的差那么多。卡哥讲完之后才明白题目的推导过程…...
OpenClaw+千问3.5-9B电商运营:自动生成商品详情与回复咨询
OpenClaw千问3.5-9B电商运营:自动生成商品详情与回复咨询 1. 为什么选择OpenClaw千问3.5-9B做电商自动化 去年双十一期间,我负责运营的个人店铺单日咨询量突破300条,手忙脚乱到凌晨三点还在回复客户问题。正是这段经历让我开始寻找自动化解…...