XiaodiSec day014 Learn Note 小迪安全学习笔记

这篇具有很好参考价值的文章主要介绍了XiaodiSec day014 Learn Note 小迪安全学习笔记。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

XiaodiSec day014 Learn Note 小迪安全学习笔记

记录得比较凌乱,不尽详细

day 14

输入输出类内容

php全局变量 server
mysql插入语法insert

搜索文件,提交表单
使用Php连接数据库,使用sql语句中的like 进行模糊查询

使用php查询内容,使用echo将内容打印到页面上

php中的连接符号是.,可以将php, html标签或引号冲突的语句连接起来

在搜索框中输入javascript 代码,若网站执行,就可能可以利用

在执行内容中输入,可能在页面中有显示,类似于你的搜索的'...'如下, 就可以在搜索框中输入可执行的js代码,在页面显示中查看执行结果

今天的视频已经把留言板做好了

存储型与反射型xss

index点击搜索执行了输入的js代码
blog将js代码存储到数据库,从数据库读取并渲染到页面时,执行了输入的js代码,只要刷新,就会执行
在留言板,搜索框等位置可能存在

php中的server用来获取访问信息

server[‘httprefer’]能获取请求的来源
Ip请求中的x-forwarded文章来源地址https://www.toymoban.com/news/detail-858236.html

到了这里,关于XiaodiSec day014 Learn Note 小迪安全学习笔记的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 小迪安全培训2023期笔记汇总-持续更新

    课件内容以及部分复现 章节内容 应用架构:Web/APP/云应用/小程序/负载均衡等 安全产品:CDN/WAF/IDS/IPS/蜜罐/防火墙/杀毒等 渗透命令:文件上传下载/端口服务/Shell反弹等 抓包技术:HTTP/TCP/UDP/ICMP/DNS/封包/代理等 算法加密:数据编码/密码算法/密码保护/反编译/加壳等 Web常规

    2023年04月23日
    浏览(42)
  • prompt-engineering-note(面向开发者的ChatGPT提问工程学习笔记)

    ChatGPT Prompt Engineering Learning Notesfor Developers (面向开发者的ChatGPT提问工程学习笔记) 课程简单介绍了语言模型的工作原理,提供了最佳的提示工程实践,并展示了如何将语言模型 API 应用于各种任务的应用程序中。 此外,课程里面提供了 Jupyter Notebook 代码实例,可以直接使用

    2024年02月12日
    浏览(44)
  • 【机器学习笔记】 6 机器学习库Scikit-learn

    Scikit-learn是基于NumPy、 SciPy和 Matplotlib的开源Python机器学习包,它封装了一系列数据预处理、机器学习算法、模型选择等工具,是数据分析师首选的机器学习工具包。 自2007年发布以来,scikit-learn已经成为Python重要的机器学习库了,scikit-learn简称sklearn,支持包括 分类,回归,降维

    2024年02月20日
    浏览(44)
  • Learn Git Branching 学习笔记(Git远程仓库篇)

    目录 一、Git远程仓库篇 1.git clone 在本地创建一个远程仓库的拷贝        2.远程分支 3.git fetch 4.git pull      5.模拟团队合作 6.git push 7.远程库提交历史的偏离     8.远程服务器拒绝!(Remote Rejected) Git的高级话题集合在上一篇文章中Learn Git Branching 学习笔记(高级话题篇)_流年

    2024年02月13日
    浏览(50)
  • 小迪安全第二天

    #网站搭建前置知识 域名,子域名,dns,http/https,证书等 理解不同web应用组成角色功能架构 开发语言,程序源码,中间件容器,数据库类型,服务器操作系统,第三方软件等 开发语言:asp,php,aspx,jsp,java,python,ruby,go,html,javascript等 程序源码:根据开发语言分类;应用型分类;开源

    2024年01月15日
    浏览(38)
  • 机器学习笔记 - 基于Scikit-Learn的各种分类器进行分类并比较

            scikit-learn是基于python语言构建机器学习应用程序的最佳库之一。简单易用,并且它有很多示例和教程。除了监督式机器学习(分类和回归)外,它还可用于聚类、降维、特征提取和工程以及数据预处理。该接口在所有这些方法上都是一致的,因此它不仅易于使用,

    2024年02月09日
    浏览(62)
  • 【100天精通Python】Day74:python机器学习的生态圈(numpy,scipy,scikit-learn等),库安装环境搭建(conda virtualenv), 以及入门代码示例

    目录  1 python 机器学习的生态圈        1.1 NumPy 和 SciPy: 1.2 Pandas: 1.3 Matplotlib 和 Seaborn: 1.4 Scikit-Learn: 1.5 TensorFlow 和 PyTorch: 1.6 Jupyter Notebooks: 1.7 NLTK(Natural Language Toolkit): 1.8 Statsmodels: 1.9 Virtualenv 和 Conda: (1)virtualenv  安装和使用 (2)conda安装和使用 1.10 Flask

    2024年02月03日
    浏览(66)
  • 小迪安全33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全

    # 知识点: 1 、中间件安全问题 2 、中间件文件上传解析 3 、 Web 应用编辑器上传 编辑器也就是第三方插件,一般都是文件上传漏洞 # 详细点: 1 、检测层面:前端,后端等 2 、检测内容:文件头,完整性,二次渲染等 3 、检测后缀:黑名单,白名单, MIME 检测等 4 、绕过技

    2024年03月16日
    浏览(60)
  • 小迪安全 第56天 服务攻防-数据库安全&H2&Elasticsearch&CouchDB&Influxdb 复现

    1.端口扫描 2.报错回显 时序数据库是近几年一个新的概念,与传统的Mysql关系型数据库相比,它的最大的特点是:数据按照时间顺序存储。 举例来说,日志数据,是以时间顺序存储的,所以用时序数据库存储是一种很好的选择。使用Mysql在存储的过程中,不是对这种基于时间

    2024年02月03日
    浏览(47)
  • 小迪安全 第15天:php开发-个人博客项目&登录验证&cookie&session&验证码安全

    1.后台验证-登录用户逻辑安全-怎么去判定用户登陆成功 2.后台验证-COOKIESESSION 3.后台验证-验证码·万能密码等 思路: 1.发送登录请求 账号 密码 2.接收账号密码 3.判断账号密码的准确性 正确 成功登陆-跳转成功页面 错误 失败登录-重新登陆 后台管理系统有多个文件页面,为了

    2024年04月15日
    浏览(75)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包