XSS-labs通关文档
本文档仅用于信息防御技术研究探讨,请勿用于其他用如图,渗透测试务必在已授权的情况下进行 安装 使用docker安装 拉取镜像1sudo docker pull vulfocus/xss-labs 启动1sudo docker run -dt --name xss -p 7777:80 vulfocus/xss-labs 题解level-1 get方式提交数据,在url栏 pay
Ajax技术-前后端交互
Ajax 并不是一门编程语言,而是一种前后端交互的技术 什么是 Ajax通过在后台与服务器进行少量数据交换,Ajax 可以使用网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新。 Ajax 实例123456<script> function loadXMlDoc(){ // Ajax 脚本执行 }</script>
SSTI模板注入漏洞
ssti漏洞的成因与危害 当服务端接受了用户的恶意代码,未经任何处理就将其应用在web应用模板的部分上,服务端在渲染这些模板时,执行了这些恶意代码,可能导致getshell 代码执行 敏感信息泄露等安全问题 一个简单的漏洞代码实例 1234567891011from flask import Flask,render_template_string,requestapp = Flask(__na
PHP代码审计-反序列化漏洞
所有的 flag 均在 flag.php 的 $flag 变量中 level 11234567891011<?phphighlight_file(__FILE__);class a{ var $act; function action(){ eval($this->act); }}$a=unserialize(
vulfocus|命令执行漏洞WP
1.运行环境进入首页 返回 index.php?cmd=ls /tmp 2.将其拼接到浏览器 url 栏后面发现输出了一段文字,但是看的不是很明显,CTRL+U 查看页面源代码 发现有两行东西,这就说明这个目录下面就一个index.php 文件 推测执行了 ls 系统命令 3.替换其他指令查找 flag执行下列命令 1find / -name '*flag*'
Python-Django开发
创建虚拟环境 创建 env 环境 1python -m venv env 启动虚拟环境 1./env/Scripts/activate 运行第一个 Django 程序 安装 django 库 1pip install django 初始化 django 项目 1django-admin startproject website 启动 django 项目 1python
Python-PyMySQL
安装 PyMySQL1pip install PyMySQL 操作数据库 开启 mysql 地址为 localhost:3306 用户名为 root 密码为 root 创建数据库连接 1234567import pymysqldbconn = pymysql.connect( host='localhost', user='root',