010-基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断
010-基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断 演示案例: ➢数据-方法&头部&状态码 ➢案例-文件探针&登录爆破 ➢工具-Postman自构造使用 #数据-方法&头部&状态码-方法1、常规请求-Get 2、用户登录-Post •get:向特定资源发出请求(请求指定页面信息,并返回实体主体); •post:向指定资源提交数据进行处理请求(提交表单、上传文件),又可能导致新的资源的建立或原有资源的修改; •head:与服务器索与get请求一致的相应,响应体不会返回,获取包含在小消息头中的原信息(与get请求类 似,返回的响应中没有具体内容,用于获取报头); •put:向指定资源位置上上传其最新内容(从客户端向服务器传送的数据取代指定文档的内容),与post的区别是put为幂等,post为非幂等; •trace:回显服务器收到的请求,用于测试和诊断。trace是http8种请求方式之中最安全的l •delete:请求服务器删除request-URL所标示的资源 ...
Linux 基础教程(一)
目录 前言 目录相关指令(ls cd pwd 相对/绝对路径 mkdir) 文件操作命令(touch cat more cp mv rm) 查找命令 (which find) 其他命令 (grep wc 管道符 echo `反引号 重定向符 tail) VI \ VIM 编辑器 查看命令手册 (help man) 前言课程资料来自于:黑马程序员大数据学习路线图(2023官方完整版) 本人通过学习整理形成此文。 工具选择:WSL 和Ubantu (在懒得安装虚拟机的状况下) 命令的选项:我们学习的一系列Linux命令,它们所拥有的选项都是非常多的。 比如,简单的ls命令就有: -a -A -b -c -C -d -D -f -F -g -G -h -H -i -I -k -l -L -m -n -N -o -p -q -Q -r-R -s -S -t -T -u -U -v -w -x -X -1 等选项,可以发现选项是极其多的。对常见的选项进行讲解, 足够满足绝大多数的学习、工作场景。 目录相关指令ls指令 ls[-a -l -h][ Linux路径 ] ls -a 全部内容(包含 ...
009-基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA
009-基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA 演示案例:➢算法加密-概念&分类&类型 ➢加密解密-识别特征&解密条件 ➢解密实例-密文存储&数据传输 安全测试中:密文-有源码直接看源码分析算法(后端必须要有源码才能彻底知道) 密文-没有源码1、猜识别 2、看前端JS(加密逻辑是不是在前端) #算法加密-概念&分类&类型1.单向散列加密 -MD5 单向散列加密算法的优点有(以MD5为例): 方便存储,损耗低:加密/加密对于性能的损耗微乎其微。 单向散列加密的缺点就是存在暴力破解的可能性,最好通过加盐值的方式提高安全性,此外可能存在散列冲突。我们都知道MD5加密也是可以破解的。 常见的单向散列加密算法有: MD5 SHA MAC CRC 2. 对称加密 -AES 对称加密优点是算法公开、计算量小、加密速度快、加密效率高。 缺点是发送方和接收方必须商定好密钥,然后使双方都能保存好密钥,密钥管理成为双方的负担。 常见的对称加密算法有: DES AE ...
008-基础入门-算法分析&传输加密&数据格式&密文存储&代码混淆&逆向保护护
008-基础入门-算法分析&传输加密&数据格式&密文存储&代码混淆&逆向保护护 演示案例: ➢传输数据-编码型&加密型等 ➢传输格式-常规&JSON&XML等 ➢密码存储-Web&系统&三方应用 ➢代码混淆-源代码加密&逆向保护 #传输数据-编码型&加密型等例: -某视频 -某Web站 -博客登录 -APP-斗地主 影响:漏洞探针 https://indialms.in/wfp_login.php?r_id=1 base64编码 username=YWRtaW4= https://indialms.in/wfp_login.php?r_id=MQ== 112123 数据在传输的时候进行编码 为什么要了解? 对方服务器可能会在接受的时候进行解码在带入 如果我们还是按照原有思路不对自己的Payload进行同样编码的话 传入过去的东西就是不认识的东西 测试无效 正确:测试的话也要进行payload同样的加密或编码进行提交 安全测试漏洞时候 通常都会进行数据的修改增加提交测试 以数据的正 ...
Linux命令大全,linux常用命令
做软件开发的朋友,相信大家或多或少都接触过Linux,知道Linux中的命令是非常多的,但是我们也不必因此而烦恼,因为我们只需要掌握常用的命令,就可以满足我们日常工作开发了。下面汇总了果冻做开发以来最常用的32个命令,分享给有需要的朋友。 1、cd-切换当前目录这是一个最基本,也是最常用的命令,它用于切换当前目录,它的参数是要切换到的目录的路径,可以是绝对路径,也可以是相对路径。 1234cd /root # 切换到目录/rootcd ./path # 切换到当前目录下的path目录中,“.”表示当前目录 cd ../path # 切换到上层目录中的path目录中,“..”表示上一层目录 2、ls-查看文件与目录这也是一个非常有用的查看文件与目录的命令,它的参数非常多,下面就列出一些常用的参数: -l :列出长数据串,包含文件的属性与权限数据等 -a :列出全部的文件,连同隐藏文件(开头为.的文件)一起列出来(常用) -d :仅列出目录本身,而不是列出目录的文件数据 -h :将文件容量以较易读的方式(GB,kB等)列出来 -R :连 ...
007-基础入门-抓包技术&全局协议&封包监听&网卡模式&APP&小程序&PC应用
007-基础入门-抓包技术&全局协议&封包监听&网卡模式&APP&小程序&PC应用 准备工作:安装科来网络分析系统&WireShark 首先使用burp开启代理试验抓包注意:必须先关闭代理进入游戏再开启代理进行抓包不然会卡在登录页面进不去 发现可以抓取但是仅限于一些走http/s协议的数据 以下通过其他的几种方式进行抓包 Wireshark:https://www.wireshark.org/ 是一个网络封包分析软件。网络封包分析软件的功能是**截取网络封包,并尽可能显示出最为详细的网络封包资料。**Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 注意:高阶需要使用语句进行筛选 科来网络分析系统:https://www.colasoft.com.cn/ 是一款由科来软件全自主研发,并拥有全部知识产品的网络分析产品。该系统具有行业领先的专家分析技术,通过捕获并分析网络中传输的底层数据包,对网络故障、网络安全以及网络性能进行全面分析,从而快速排查网络中出现或潜在的故障、安全及性能问题。 1.选中波 ...
006-基础入门-抓包技术&HTTPS协议&APP&小程序&PC应用&WEB&转发联动
006-基础入门-抓包技术&HTTPS协议&APP&小程序&PC应用&WEB&转发联动 破解burpsuite_pro先找到目标目录下的相关文件:在此文件目录打开cmd 安装过java的直接输入 java -jar BurpSuiteLoader_v2022.jar 准备工作: 1、浏览器安装证书:解决本地抓HTTPS 2.模拟器安装证书:解决模拟器抓HTTPS 实现目的: 掌握几种抓包工具证书安装操作 掌握几种HTTP/S抓包工具的使用 学会Web,APP,小程序,PC应用等抓包 了解此课抓包是针对那些目标什么协议 注意:证书的后缀:der为pc浏览器安装,cer为模拟器安装 1、浏览器安装证书:解决本地抓HTTPS Charles: 抓浏览器 Fiddler: Burpsuite: 先打开burpsuite 开启代理 可以进行修改可以访问到网页的后台 连续按Forward 2.模拟器安装证书:解决模拟器抓HTTPS Charles: 将保存在桌面的证书,通过模拟器的共享的文件夹,打开到模拟器中 ...
001-基础入门-Web演示源码&资源&工具箱等
001-基础入门-Web演示源码&资源&工具箱等 常规的Web应用搭建:1、购买云服务器,购买域名 2、云服务器去搭建中间件 lls配置安装 3、下载并上传Web程序源码 4、添加网站并绑定域名目录 路由访问: 常规 在源码目录下创建对应的文件 通过域名加路径进行访问 不常规;Java ,python等 一些文件访问不到 需要掌握的问题 1、知道Web必备四大件作用 2、知道网站有哪些形式展示 3、知道源码和URL访问对应关系 4、知道源码有加密开源闭源类型 5、知道文件访问解析由什么决定 6、知道数据库存储数据站库分离 7、知道中间件配置影响后续手法 8、知道常规真实Web搭建解析流程 9、思考为什么要学习掌握这些东西 解答:1. 四大件: HTML (HyperText Markup Language): 用于定义和结构化网页内容的标记语言。 CSS (Cascading Style Sheets): 用于描述网页的样式和布局。 JavaScript: 用于实现网页的交互和动态效果。 HTTP (HyperText Tran ...
002-基础入门-Web架构&集成软件&Docker&资源平台等
002-基础入门-Web架构&集成软件&Docker&资源平台等 #常规化 原理:源码数据都在同服务器 影响:无,常规安全测试手法 #站库分离: 原理:源码数据库不在同服务器 存储:其他服务器上数据库&云数据库产品 影响:数据被单独存放,能连接才可影响数据 #前后端分离原理:前端JS框架,API传输数据 https://www.rxthink.cn/ 前端站点 http://manage.thinkphp6.elevue.rxthink.cn/content/item 后台管理演示站点 影响: 1、前端页面大部分不存在漏洞 2、后端管理大部分不在同域名 3、获得权限有可能不影响后端 #宝塔+Phpstudy 配置 原理:打包类集成化环境,权限配置或受控制 影响:攻击者权限对比区别 区别和对比宝塔 (BT.cn) 特点: 开源性质: 宝塔是一个开源的服务器管理面板,用户可以通过源代码审查面板的实现细节。 权限控制: 宝塔通过面板的用户管理系统来实现权限控制。用户可以创建不同的账户并设置不同的权限,从而限制用户对服务器的访 ...
003-基础入门-Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
003-基础入门-Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护 #WAF 原理:Web应用防火墙,旨在提供保护 影响:常规Web安全测试手段会受到拦截 演示:免费D盾防护软件 Windows2012 + IIS +D盾 未开启D盾:asp webshell后门可以正常解析 开启D盾防护后:asp后门无法解析,被拦截 #CDN 原理:内容分发服务,旨在提高访问速度 影响:隐藏真实源IP,导致对目标测试错误 演示:阿里云备案域名全局CDN加速服务 Windows2012 + BT宝塔面板 + CDN服务 #OSS 原理:云存储服务,旨在提高访问速度 影响: 演示:https://cloudreve.org/ Windows2012 + cloudreve + 阿里云OSS https://github.com/cloudreve/Cloudreve/releases/tag/3.7.1 1、启动应用 2、登录管理 3、配置存储信息 4、更改用户组存储属性 #阿里云OSS: 1、开OSS 2 ...
记录一些后端知识
分享一些笔记心得
吃喝吃喝吃喝吃喝
