代码编织梦想

关于单例模式-爱代码爱编程

单例模式无论是在实际项目开发还是面试中,都是经常会涉及到,今天总结一下什么样的单例模式才是正确的。 1. 存在问题的单例模式 1.1 线程不安全的懒汉式 /** * Created by zhoujunfu on 2

更高效、更安全地操作 cssom :css typed om-爱代码爱编程

前言 长期以来,我们要修改 DOM 元素的样式,我们实际上操作的是 CSS 的对象模型 CSSOM。而 Houdini 中推进的又一组 CSS 对象模型 Typed OM,该标准又给我们带来了什么好处呢? CSSOM CSSOM 是干嘛的? 简单的说来,CSSOM 是一组能让 JS 操作元素 CSS 的 API。在浏览器进行页面渲染的过程中扮演

dvwa-xss(reflected)注入-low-medium-hight-爱代码爱编程

Low 1、看到这里,这个输入框就是“入口”,输入探测123“出口”的位置 2、直接上payload:   <script>alert(1)</script>  3、结果: 4、这里我们可以去查看一下源码的结构,已经成功插入了一个<script>标签 Medium 1、话不多说,直接勒

更安全的web通信https-爱代码爱编程

1. HTTP协议存在的问题 阅读本篇需要对HTTP协议有最基本的了解。 借用《图解密码技术》里的图片,我们以如下一个购物场景开始介绍: 在网购过程中,如果使用纯粹的HTTP协议,那么用户的账号密码,信用卡,银行卡信息都将在信息传输过程中直接裸奔。从例子中我们可以看到信用卡信息直接被明文传输了。除了明文传输之外,还存在着以下两个问题: 1.无

web安全之越权漏洞-爱代码爱编程

title: WEB安全之越权漏洞 date: 2017-11-4 12:46:16 tags: WEB安全maven越权漏洞 categories:WEB安全 背景 越权漏洞是Web应用程序中一种非常常见的安

sqlmap的基础使用-爱代码爱编程

  sqlmap支持5种不同类型的注入模式: 1、基于布尔类型的注入,即可根据返回页面判断条件真假的注入。 2、基于时间的盲注,即不能根据页面返回判断的时候,利用时间线是否延时来判断条件的真假。 3、基于报错的注入,即页面会返回错误信息,或者把注入的语句的结果直接返回到页面中,比如数据库报错的信息等。 4、联合查询注入,即可以使用Union的情况

sql的两种注入方式(“buuctf-n1book”-[第一章 web入门]sql注入-1)-爱代码爱编程

通过解决具体题目(“BUUCTF-N1BOOK”-[第一章 web入门]SQL注入-1)在网站进行手工SQL注入和创建kali虚拟机环境来进行sqlmap自动注入两种注入方式来学习SQL注入工作原理,能够掌握简单的SQL注入方法。 一、手工注入 判断为字符型注入

挖洞技巧 绕过某视频站验证过程-爱代码爱编程

我找到了一个社交媒体网站,该网站允许用户共享类似于TikTok的视频,TikTok拥有超过5000万活跃用户,因此我决定不向公众公开。 让我们开始吧! 我通过收集有关目标网站的一些信息来发起攻击,让我们以该网站为example.com,我注册了一个帐户并正在搜索仪表板。但是令我惊讶的是,我找不到能够停止前进的仪表板,因为我喜欢寻找XSS❤等待,让我

论文阅读笔记20230204-爱代码爱编程

换个方向来看Fuzzing。 AntiFuzz: Impeding Fuzzing Audits of Binary Executables (SEC 2019) 计算机安全领域里一个常用的防御手段是提高攻击者的成本(包

dvwa-xss(dom)注入-low-medium-hight-爱代码爱编程

Low  先点个Select,静观其变 点击select以后url地址中多出来一个default=参数,尝试这个注入点。 输入payload      <script>alert(1)</script>  并提交 Medium 1、先尝试<script>alert(1)</script>

sql注入初学者笔记-爱代码爱编程

这是一篇对基础的sql注入练习过程,可能会比较乱,请多谅解 靶场:dvwa 注入有get和post,post相对安全一点 先判断是否存在注入和注入类型: 设置安全性 2.在sql injection输入了错误语法返回值:(1‘or’1‘=1 ) 3.先进入dvwa数据库进行一个正常查询 select * from use

了解nikto扫描器-爱代码爱编程

Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件/CGls;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/li

了解paros proxy扫描器-爱代码爱编程

Paros是一种利用java语言开发的安全漏洞扫描工具,它砖窑是为了满足那些需要对自己的web应用程序进行安全监测的应用者而设计的。通过Paris的本地代理,所有在客户端与服务器端之间的http和https数据信息,包括co

了解owasp zap扫描器-爱代码爱编程

了解owasp zap扫描器 owasp zap是一款开源的web安全工具,它简单易用,与burp suite相似,主要功能包含了:代理、数据拦截修改、主动扫描、被动扫描、主动攻击、爬虫、fuzzing、绳头测实等。在国外

vulnhub靶机通关(1)ai-web-爱代码爱编程

首先使用nmap探测端口开放情况,只开放了80端口 使用disearch探测目录,看下robots.txt内容 找到两个禁止访问的目录,丢到dirsearch扫到phpinfo,另外一个存在SQL注入的地方     4.se3reTdir777存在注入,但是最后的账号密码是假的,没任何用处,但是结合phpinfo泄露的网站绝对路径,可以尝试

信息安全技术 政务信息共享 数据安全技术要求-爱代码爱编程

边界突破 2020 年全年,应急响应中心监测发现偏 Web 类的云管理平台、Web 应用服务、中 间件组件的远程代码执行漏洞,以及虚拟机本地权限提升的逃逸漏洞等依然是出现较多 的高危风险点。这些应用服务和中间件组件漏洞通常

了解netsparker扫描器-爱代码爱编程

Netsparker是一款综合型的Web应用安全漏洞扫描工具,它分为专业版和免费版,免费版的功能也比较强大。Netsparker与其他综合性的Web应用安全扫描工具相比的一个特点是它能过更好的检测SQL Injection和

了解天蝎扫描器-爱代码爱编程

天蝎座扫描器是一款WEB程序安全检测工具,有旁站查询,目录扫描,IP段查询,常用查询,SQL注入,大小马生成,综合查询,结构扫描,穷举目录等功能。是个人开发的扫描器。 一、使用天蝎座扫描器扫描网站 1.1双击打开天蝎座扫描

了解北极熊扫描器-爱代码爱编程

北极熊扫描器是一款简单的web扫描器,但是功能却是非常丰富,除了基础性的二级域名检测和C段之外,额外提供了搜索引擎抓取站点。支持多任务执行,支持延迟(降低速度,以免被安全软件拦截)同时少见的还有代码审计功能,可以让管理员快速

phpstudy 最新 rce漏洞-爱代码爱编程

0x00 前言 突然看到这个漏洞,所以起来复现一下,其实没有什么技巧和经验可言,就是一个xss+csrf的RCE。 本文仅供参考,请勿用于非法用途 0x01 漏洞环境 环境部署可以参考:https://www.xp.