JSON&XML
|
206
|
PHP

925 字
|
10 分钟
JSON&XML 一、JSON JSON中文名称为:“JS对象标记”。是一种轻量级的数据交换格式,属于JS一个子集。简介和清晰的参差使得JSON曾为理想的数据交换语言。易于人阅读和编写,同时也易于机器解析和生成,并有效提升网络传输效率,是目前在互联网上进行数据传输的重要手段。 数据的展示和存在形式; 数组:索引数组是适用于大多数编程语言,P…
PHP
前后端交互处理
|
185
|
PHP

317 字
|
2 分钟
前后端交互处理 一、简介 前后端的交互过程就是HTTP协议的处理过程:请求与响应的处理过程。单纯只有前端,无法使用狗太服务器的能力,或者无法访问数据库。如果只有后端也无法形成业务流程,无法为客户服务。 三种方式 资源获取型:GET请求+URL地址 数据提交型:POST请求+URL地址+请求正文 AJAX提交:利用异步提交的方式,在不刷新当前页面的情…
PHP
PHP基本语法
|
195
|
PHP

1980 字
|
16 分钟
PHP基本语法与字符串 一、基本结构 HTML、CSS、JS及图片等会被服务器 原样发送给客户端,渲染工作由客户端浏览器完成。然而PHP会被服务器先通过脚本引擎处理后再将处理结果发送给客户端。 1.代码块 PHP运行于服务器中,主要用于网页的处理 将代码包裹 ?> Document 2.注释 //:可以注释一行 /**/:可以注释段落 3. 输入输…
PHP
JavaScript元素定位
|
88
|
PHP

247 字
|
2 分钟
JavaScript元素定位 一、DOM操作 JavaScript直接操作页面的元素的方法集合,称为DOM,是一套JS代码接口。另外,还有一套BOM,用于通过JS直接操作浏览,比如前进、后退、刷新、历史等 二、JS定位元素 定义一个变量使用var标记,并给它赋值,innerHTML为该元素的属性,被函数包裹的代码如果没有出发条件或调用代码,则这部分…
PHP
DIV盒模型与CSS基础
|
183
|
PHP

933 字
|
6 分钟
DIV盒模型与CSS基础 一、CSS使用方式 在元素中指定style属性 也称为内嵌样式,只针对对应的这个标签生效 在页面中嵌入style样式块 通常将style标签放置于head标签中,可以针对当前页面所有元素生效 在也缪按中引入外部css文件 外部CSS文件可以针对全站的引入了这个CSS的多个页面生效,放置于head标签中 二、CSS选择器 选…
PHP
Web前端页面基本元素
|
182
|
PHP

460 字
|
4 分钟
Web前端页面基本元素 一、HTML页面的构成要素 HTML:超文本标记语言,由一系列实现约定好的标签来描述一个页面的构成,HTML不是编程语言,只是标记语言。HTML主要由三个部分构成:标记、属性、内容 文本:设置字体、颜色、大小等 图片:设置边框、大小、位置等 超链接:图片、文本等 表格:行列构成的结构化数据可以用表格展示,可以设置大小、背景,…
PHP
SSRF服务器请求伪造
|
176
|
渗透测试

1293 字
|
6 分钟
SSRF服务器请求伪造 一、概述 1.定义 攻击者通过伪造服务器发送对其他内网服务器的请求,来访问本不应由外网访问到的内部资源。 这种漏洞一般出现在由用户提供地址,服务器主动请求该地址的功能上,如解析外部图片地址,通过url下载外部文件。 当攻击者找到可利用的ssrf漏洞或者获得服务器一定权限的时候可以通过该服务器发送内网请求,扫描内网服务及端口,…
攻击方法渗透
CSRF跨站请求伪造
|
175
|
渗透测试

853 字
|
5 分钟
CSRF跨站请求伪造 一、概述 1.定义 攻击者利用服务器对用户的信任,从而欺骗受害者去服务器上执行受害者不知情的请求。 在CSRF攻击场景中,攻击者会伪造一个请求(一般为链接),然后欺骗用户点击,用户一旦操作,整个攻击就完成了,所以CSRF攻击也被称为“one click”攻击。 2.与XSS的区别 XSS使利用用户对服务端的信任,CSRF是利用…
攻击方法渗透
文件操作类漏洞防御
|
170
|
渗透测试

730 字
|
3 分钟
文件操作类漏洞防御 一、文件包含 1.绕过 实际环境中不都是include $_GET['file']这样直接把变量传入包含函数的。在很多时候包含的变量/文件不是完全可控的,如以下代码指定了前缀和后缀 目录穿越绕过指定前缀,构造file = ../../../../etc/passwd 编码绕过前缀:../的编码为%2e%2e%2f 二次编码逃过前…
攻击方法渗透
文件下载漏洞
|
172
|
渗透测试

235 字
|
2 分钟
文件下载漏洞 一、漏洞PHP源码 // 获取店端清酒的文件名 $file_path = $GET['filename']; // 设置响应头为附件下载而非内容读取 Header("Contnet-type: application/octet-stream"); Header("Content-Di…
攻击方法渗透
文件上传漏洞
|
272
|
渗透测试

213 字
|
1 分钟内
文件上传漏洞 一、漏洞成因 没有对上传的文件进行判断,导致用户可以直接上传恶意php等文件,从而达到上传木马。 优化:可以进行前端对文件后缀校验,禁止用户上传不合法文件。 直接禁用JS可以绕过JS对文件后缀的校验,但是不建议禁用JS,因为这会直接禁用掉所有JS,有可能导致其他功能失效。 优化:使用ajax实现上传功能,防止用户通过禁用JS上传恶意文…
攻击方法渗透
文件包含漏洞
|
260
|
渗透测试

618 字
|
5 分钟
文件包含漏洞 一、本地文件包含 1.源代码 $filename = $_GET['filename']; include $filename; echo "欢迎来到PHP世界" 2.利用条件 php.ini中allow_url_fopen=On(默认开启)和allow_url_include=off(默认关闭…
攻击方法渗透
XSS攻防与绕过
|
270
|
渗透测试

986 字
|
4 分钟
XSS攻防与绕过 一、XSS利用方式 获取用户cookie,实现越权,如果是获取网站管理员的Cookie,叫做提权。应该尽快注销账号,让Session失效 钓鱼网站,模拟真实的网站的登录页面,获取用户信息(用户名密码等),再跳转到真实网站 执行JS代码,用于DDOS攻击别的目标站点,在A站植入XSS代码,向B站发送请求,当用户量大的时候,实现了DD…
XSS渗透
XSS基本原理
|
249
|
渗透测试

1237 字
|
8 分钟
XSS基本原理 一、XSS基础演示代码 <?php // 从浏览器接受一个URL地址参数,名为content if(isset($_GGET['content'])){ $content = $_GET['content']; echo "你输入的内容:$content"; } el…
XSS渗透
SQL其他注入
|
314
|
渗透测试

650 字
|
4 分钟
其他注入 一、更新注入 所有更新类操作,只返回布尔型结果,不会返回数据,所以无法像select一样进行多样化处理,所以更新类操作的核心就是构建报错注入的payload insert into user(username, password, role) vlues('wowo' or updatexml(1, concat(0x7e,databas…
sql攻击方法渗透