靶场polar web
vulhub靶场练习
代耕。。。 练习靶场vulhub官网:https://vulhub.org/ vulhub搭建自己的经验(待完善):https://www.cnblogs.com/dustfree/p/16660437.html vulhub搭建参考文档:https://www.cnblogs.com/zzjdbk ......
web服务器和web应用程序服务器的区别
一句话就是 web服务器是处理http请求的服务而web应用程序服务器是处理web服务器发来的动态网页请求并返回静态网页的服务 举个例子,我写了一个jsp网页,里面包含html和java两种语言,Java语言写的网页无法在浏览器上直接执行,必须通过一个中间系统处理,这个中间系统被称为中间件或web应 ......
2023 安洵杯SYCTF Web-writeup
# 2023 安洵杯SYCTFWeb-writeup ## Web **文末:附官方wp,失效可留言联系** ### CarelessPy 首页的源代码中存在注释,提供了两个功能点。 ```html 处有回显位 直接用 file协议 xxe注入 读取flag ``` ]> 111~&xxe; ``` ......
web入门
# 03搭建安全拓展 ## 文件安全解析 1.$der,$$cer $后缀可以用$asp.dll$解析,所以也可以创建$.xiaodi$的后缀使用$asp.dll$解析 ## 常见脚本和数据库搭配 1. php+MySQL(3306) 2. asp+SQL server(1433) 3. jsp+O ......
Web安全-渗透测试-信息收集02
# 站点搭建,WAF ## 信息收集 >在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定着是否能完成目标的测试任务。也可以很直接的说:渗透测试的思路就是从信息收集这里开始 ![image](https://img2023 ......
vulhub靶场搭建,以及使用方法
如何安装vulhub靶场 备份文件(如果没有重要的东西,就非必要) cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak 下载阿里云覆盖原文件 curl -o /etc/yum.repos.d/CentO ......
2022 360强国杯决赛Web-writeup
# Web ## ezxunrui **分析** 1、下载附件开始审计 迅睿路由规则不过多介绍了,需要选手自行分析代码逻辑,这里只公布漏洞点。 控制器在如下位置。 ![image-20230612183438186](https://img2023.cnblogs.com/blog/2859604/ ......
Sekiro RPC框架部署使用--web(油猴脚本)
点击 进入JsRpc 项目地址 一,下载地址 下载地址(https://oss.iinti.cn/sekiro/sekiro-demo) 二,运行(依赖java环境,自行安装) # win 运行 bin/sekiro.bat # linux 运行 bin/sekiro.sh 三,编写油猴脚本 (1) ......
搭建vulhub靶场
安装vulhub靶场 https://vulhub.org/ 可选择的操作 备份 cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak 下载阿里云覆盖原文件 curl -o /etc/yum.repos. ......
frp内网穿透web服务配置
frp是使用较多的免费开源的内网穿透软件,源代码托管在GitHub。 1. 下载安装安装步骤可参考官方文档 https://gofrp.org/docs/setup/点击项目的release地址进入下载页面:https://github.com/fatedier/frp/releases,首先要根据 ......
Web安全测试—查看网页的HTML源代码
浏览器中浏览网页,查看网页的源代码,是测试中很简单的,很基本的方法,也是非常值得做的。查看源代码最基本的两项作用:可以帮助你发现最明显的安全问题,可以帮助为将来的测试建立一个比较的基准。也可以帮忙你对比攻击失败前后的源代码,调整你的输入,了解到通过的和没有通过,可以再次的尝试。 作为比较基准,查看H ......
第一届山城杯初赛Web-WriteUp
# Web writeup: ## Web1(**Lesen**): **考点:** > 文件包含 反序列化 伪协议 界面: ![image-20230526212624496](https://img2023.cnblogs.com/blog/2859604/202306/2859604-2023 ......
2023年第三届陕西省大学生网络安全技能大赛本科组web官方-writup
题目列表: ![image-20230609094714665](https://img2023.cnblogs.com/blog/2859604/202306/2859604-20230612130728123-912675213.png) # ezpop ### 题目描述 #### 题目名称 e ......
Web网页端IM产品RainbowChat-Web的v5.0版已发布
一、关于RainbowChat-Web RainbowChat-Web是一套Web网页端IM系统,是RainbowChat的姊妹系统(RainbowChat是一套基于开源IM聊天框架 MobileIMSDK(Github地址) 的产品级移动端IM系统)。 ► 详细介绍:http://www.52im ......
Selenium测试本地web登录
首先在py项目上配置selenium 配置好了之后上代码(末尾有完整代码) 首先导包 from selenium import webdriver from selenium.webdriver.common.by import By from selenium.webdriver.support. ......
Jmeter测试本地web登录接口
安装配置Jmeter 下载下来就是一个包,我下的是5.4.3版本的 去bin目录下找到Jmeter.bat 点击运行 语言的修改问题可以去配置文件里面改,也可以下载汉化包,具体教程自己搜 首先添加线程组 添加http请求 添加查看结果树 运行 ......
Web安全-渗透测试-信息收集01
# CDN >CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户**就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。**但在安 ......
2023安洵杯web两道WP
#Web ##CarelessPy 在首页提示存在eval和login的路由,在download存在任意文件下载 访问eval可以读取目录下的文件,知道/app/__pycache__/part.cpython-311.pyc路径,然后使用download下载下来,进行反编译 ![](https:/ ......
Burp Suite Professional / Community 2023.6 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
Burp Suite Professional / Community 2023.6 (macOS, Linux, Windows) - Web 应用安全、测试和扫描 Burp Suite Professional, Test, find, and exploit vulnerabilities. ......
WEB漏洞—文件上传之黑白名单绕过
文件上传常见验证 后缀名,类型,文件头等 1. 后缀名:黑名单,白名单 后缀名是直接的验证,分为黑名单(asp,php,jsp,aspx,cgi,war…)和白名单(jpg,png,zip,rar,gif…)。 黑名单是不允许那些格式的文件上传,缺陷:添加文件的后缀,如PHP5等; 白名单是只允许那 ......
SYCTF2023 WEB writeup
## CarelessPy 一进来就是个任意文件下载功能,不过做了些限制,这题从头到尾都在骂杂鱼。。。(虽然我确实是(bushi) 查看页面源代码,给了个`/eval /login` 两个路由,/eval是个目录遍历,/login尝试登录无果,有session,应该需要伪造session,利用/ev ......
web1
一、实验目的 通过设计一个个人主页网站,学习常用的HTML标记,学习使用CSS对页面进行美化,掌握JavaScript的语法和常用的浏览器对象,初步学会使用Eclipse创建网站和编辑网页的方法。 二、实验内容和要求 1) 自己设计网页内容,做一张展示自己网页。要求展示的主要内容有:基本资料、学习经 ......
web2
实验项目名称:实验二 服务器端简单程序设计 一、实验目的 通过一个小型网站的开发,掌握JSP基础知识,加深对session,request,response,cookie等对象的理解,掌握其使用方法,进一步深入掌握HTML、CSS和JavaScript等知识。 二、实验内容和基本要求 1) 编写in ......
web3
实验项目名称:实验三 Web数据库程序设计 一、实验目的 通过使用JSP技术设计一个简单的数据库管理系统,了解展示页面和编辑页面的区别,掌握Web服务器与MySQL数据库的连接和数据库操作的方法,掌握使用Java语言编写JSP文件的方法。 二、实验内容和基本要求 从以下列举的四个数据库中,任选其一, ......
web4
实验项目名称:实验四 Web综合应用程序设计 一、实验目的 通过使用Java MVC模式设计简单的数据库管理系统,巩固使用JDBC技术访问数据库的方法,学习使用Java语言对服务器端进行编程,深入理解MVC网站设计模式的基本概念和框架结构。 二、实验内容和基本要求 从以下列举的四个数据库中,任选其一 ......
web实验2
实验项目名称:实验二 服务器端简单程序设计 一、实验目的 通过一个小型网站的开发,掌握JSP基础知识,加深对session,request,response,cookie等对象的理解,掌握其使用方法,进一步深入掌握HTML、CSS和JavaScript等知识。 二、实验内容和基本要求 1) 编写in ......
web实验3
实验项目名称:实验三 Web数据库程序设计 一、实验目的 通过使用JSP技术设计一个简单的数据库管理系统,了解展示页面和编辑页面的区别,掌握Web服务器与MySQL数据库的连接和数据库操作的方法,掌握使用Java语言编写JSP文件的方法。 二、实验内容和基本要求 从以下列举的四个数据库中,任选其一, ......
web实验4
实验项目名称:实验四 Web综合应用程序设计 一、实验目的 通过使用Java MVC模式设计简单的数据库管理系统,巩固使用JDBC技术访问数据库的方法,学习使用Java语言对服务器端进行编程,深入理解MVC网站设计模式的基本概念和框架结构。 二、实验内容和基本要求 从以下列举的四个数据库中,任选其一 ......
JavaScript学习笔记:Web安全模型
为了保证安全,浏览器中的JavaScript不能读写设备中的文件,也不能访问任意的服务器。 ## 同源策略 同源策略指的是脚本只能访问与包含它的文档同源资源。 源是指文档URL中的协议、主机与端口部分,完全相同则是同源,任意一项不同都不是同源。 脚本文件的URL与同源策略毫不相干,同源策略至于脚本的 ......