ctfshow-web web ctfshow 09
CTFer成长记录——CTF之Web专题·攻防世界—NewsCenter
一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 本题打开是让我们搜新闻,新闻的数据就是来自于数据库的,那么比较容易想到这题应该是sql注入。 首先判断是否能单引号绕过:输入hello正常回显,但hello' ,发现页面空白,说明he ......
web渗透测试(7):跨站点脚本(XSS)
跨站点脚本源于信息发送给应用程序用户时缺乏编码。这可以用来注入任意的HTML和JavaScript; 结果是该有效载荷在合法用户的网络浏览器中运行。与其他攻击相反,XSS漏洞针对应用程序的用户,而不是直接针对服务器。 一些漏洞利用的例子包括: 注入假登录表单; 检索合法用户的Cookie; 注入浏览 ......
CTFer成长记录——CTF之Web专题·攻防世界—unseping
一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 本题主要是代码审计和反序列化; 代码审计:首先我们需要知道整个题的基本执行顺序:post传参——>base64编码——>反序列化——>调用__wakeup()魔术方法——>执行waf( ......
web渗透测试(6):HTTP认证 和 Web服务
来源:http://www.shanhubei.com/archives/2700.html HTTP认证 HTTP还提供了对用户进行身份验证的机制。有三种方法可用作协议的一部分: 基本认证:用户名和密码使用base64进行编码,并使用Authorization标头发送:Authorization: ......
CTFer成长记录——CTF之Web专题·攻防世界—file_include
一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 本题依然是文件包含,那么构造paylaod:?filename=php://filter/read=convert.base64-encode/resource=flag.php 发现 ......
微信小程序+web数据库的开发实践
前言 生活中使用微信小程序的场景越来越多,它实现了用户对于应用“触手可及、用完即走”的理想需求。微信小程序的开发难度也低于APP的开发制作,使用它会更便利、低成本、高经济效益。 但是要完成一个小程序涉及到的技术栈比较多,要开发的模块也很多。比如: 微信小程序端的开发 小程序与后端接口的开发 后端管理 ......
web渗透测试(5):Cookies 和 sessions
Cookie(和间接sessions)用于保存两个HTTP请求之间的信息。如果浏览器在没有cookie的情况下发送两次相同的请求,则服务器无法看到它是同一个人。你可以认为IP地址是足够的,然而很多人在企业环境和移动网络中共享相同的IP地址(因为他们通过相同的代理)。也可以将信息作为URL的一部分保存 ......
web渗透测试(4):数据编码
代码与数据 大多数安全问题来自于攻击者能够将代码放在应用程序需要数据的地方。大多数Web安全问题(如XSS或SQL注入)都来自此; 应用程序接收数据,但将此数据用作代码。 URL网址编码 正如我们所看到的,HTTP中使用了一些字符来区分: 每个请求的行:\r\n。 HTTP请求的每个部分(如方法和U ......
web渗透测试(3):HTTP协议
来源:http://www.shanhubei.com/archives/2693.html HTTP协议 HTTP是Web的基础,深入了解此协议以执行Web安全测试非常重要。了解并理解HTTP特性通常会让您发现漏洞并利用它们。 客户端 - 服务器对话框 HTTP是一个客户端和一台服务器之间的对话。 ......
web渗透测试(2):Web知识
Web web应用程序可能是互联网上公司和机构暴露的最常见的服务; 此外,大多数旧应用程序现在都有一个“web版”可供浏览器使用。这种巨大的转变使网络安全成为网络安全的重要组成部分。 web的安全模型 web安全模型的基础非常简单:不要相信客户端。服务器收到的大部分信息都可能被客户欺骗。宁可安全,不 ......
Yunfly 一款高效、性能优异的 node.js web 框架
# 介绍 `Yunfly` 一款高性能 Node.js WEB 框架, 使用 `Typescript` 构建我们的应用。 使用 `Koa2` 做为 HTTP 底层框架, 使用 `routing-controllers` 、 `typedi` 来高效构建我们的 Node 应用。 Yunfly 在 Ko ......
【Web开发指南】如何用MyEclipse进行JavaScript开发?
由于MyEclipse中有高级语法高亮显示、智能内容辅助和准确验证等特性,进行JavaScript编码不再是一项繁琐的任务。 MyEclipse v2023.1.1离线版下载 MyEclipse技术交流群:742336981 欢迎一起进群讨论 JavaScript项目 在MyEclipse 2021 ......
.Net Web API 002 Program和WeatherForecastController
创建工程后,工程主要包含了Program.cs和WeatherForecastController.cs两个代码文件,还有一个WeatherForecast.cs文件,该文件定义的天气情况数据结构替,WeatherForecastController用来组织和返回数据。 1、Program.cs文件 ......
【译】为你的 ASP. NET Core Web API 创建 Microsoft Power App
在今天的博文中,我们将介绍如何在 Visual Studio 中创建自定义连接器,以及如何使用 Microsoft Power App 快速构建前端。 ......
001 新建Net Web API工程
1、新建工程 打开VS2022,点击新建项目,弹出创建新项目对话框,然后在项目模板处,选择C#、所有平台以及WebAPI,如下图所示。 选择了下面的唯一模板,点击下一步,设置项目的名称、保存路径等。如下图所示。 点击下一步,可使用默认的配置,如下图所示。 点击创建,完成创建工作。创建后的工程目录如下 ......
web APIs获取dom元素
1.获取页面中的标签最常用的两种方式 document.querySelectorAll和document.querySelector 2他们两个区别是什么 document.querySelectorAll可以选择多个元素,得到伪数组,要遍历才能得到每一个元素 document.querySele ......
09-索引和视图
09-索引和视图课程目标掌握索引原理、索引的应用、 视图的概念、创建视图、修改视图、删除视图。9.1索引原理索引被用来快速找出在一个列上某一特定值的行。没有索引,MySQL不得不首先以第一条记录开始,然后读完整个表直到它找出相关的行。表越大,花费时间越多。对于一个有序字段,可以运用二分查找(Bina ......
CTFer成长记录——CTF之Web专题·19强网杯—随便注
一、题目链接 https://buuoj.cn/challenges#[%E5%BC%BA%E7%BD%91%E6%9D%AF%202019]%E9%9A%8F%E4%BE%BF%E6%B3%A8 二、解法步骤 本题考察的是堆叠注入:堆叠注入原理就是通过结束符同时执行多条sql语句;例如php中的m ......
Day09_列表类型
1.list()类型转换用法和作用: 2.列表操作:正向取值、反向去之、可取也可以改、索引不存在则报错: 3.列表操作:列表追加值: 4.列表操作:列表插入值: 5.列表操作:extend用法两个列表元素合并、字符串合并到列表中: 6.列表操作:列表删除方式一del: 7.列表操作:列表删除方式二p ......
CTFer成长记录——CTF之Web专题·buuctf—secretfile
一、题目链接 https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Secret%20File 二、解法步骤 打开网页: 看看源码: 访问下: 继续看源码: 继续访问: 发现并没有跳转到ac ......
Django web框架实现nacos【多配置】修改
Django web框架实现nacos【多配置】修改 基于上面一个博客进行功能升级优化,在实际场景中一般会有多个配置需要同时进行修改,上章节功能就不足满足使用了,在此基础上进行功能优化同时修改多个配置进行提交表单。 1. 安装依赖 pip install nacos-sdk-python PyYAM ......
CTFer成长记录——CTF之Web专题·攻防世界—easyphp
一、题目链接: https://adworld.xctf.org.cn/challenges/list 二、解法步骤 本题给了一大段php代码,需要代码审计以及常见的绕过手法即可获得flag。 if(isset($a) && intval($a) > 6000000 && strlen($a) <= ......
[Web] 会话访问的 Session, Cookie and Token
### Session Cookie Token 是什么? #### Session Session是服务器端的一种状态管理机制,用于跟踪用户在不同请求之间的状态。 当用户第一次访问服务器时,服务器会为该用户创建一个唯一的Session ID,并将该ID通过Cookie或URL参数发送给客户端保存。 ......
Django web框架实现修改【单个】nacos配置
Django web框架实现修改【单个】nacos配置 基于上一个博客的Django 的项目环境继续添加一些高级的功能——修改nacos配置。 简单回顾一下,上面添加的功能: 博客网站文章上传、发布,redis key删除接口。 1. 首先安装Python Nacos客户端库 pip install ......
WEB漏洞—反序列化之php&java(上)
PHP 反序列化原理: 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。 其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化和反序列化相当于加解密过程) 在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就 ......
Web开发者不容错过的10个HTML5工具
HTML5已经成为当今世界的一个必然组成部分。由于World Wide Web万维网是使用超文本标记语言来架构和呈现的,于是HTML5成为了最流行的编程语言之一。随着网络的不断扩张,Web开发人员非常有必要拥有最新的HTML5工具,用于创建动态和交互式的Web应用程序和网页。下面这些就是你不应该错过 ......
Burp Suite Professional / Community 2023.8 (macOS, Linux, Windows) - Web 应用安全、测试和扫描
Burp Suite Professional / Community 2023.8 (macOS, Linux, Windows) - Web 应用安全、测试和扫描 Burp Suite Professional, Test, find, and exploit vulnerabilities. ......
CTFer成长记录——CTF之Web专题·攻防世界—fileinclude·好多文件呀
一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 WRONG WAY! <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET["file1"]) && ......
CTFer成长记录——CTF之Web专题·攻防世界—easyupload
一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 这题一道文件上传题,本题考的是利用.user.ini文件的特性,实现任意命令执行。在测试该文件上传是白名单还是黑名单,我们可以随便上传一个文件后缀,只要不通过就是白名单检测。 .use ......