- 博客(9)
- 收藏
- 关注
RSS订阅原创 网络安全常见漏洞
其中一个更大的优势在于由于phpMyAdmin跟其他PHP程序一样在网页服务器上执行,但是您可以在任何地方使用这些程序产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。SQL注入(SQL Injection)是一种代码注入技术,攻击者通过在应用程序的输入字段中插入(或“注入”)恶意的SQL代码,从而欺骗应用程序的后端数据库服务器执行非授权的任意SQL命令。文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
2025-06-18 11:56:41
329
原创 CTF例题
观察最后的AA,联想到base64编码最后常出现的==,A的ASCII码值为65,=的ASCII的码值为61,分析可能是base64编码做了偏移,尝试将密文所有字符的ASCII码值-4,然后再做base64解码。遍历密文字符串的每个字符,获取它的ascii码值,-4之后转化为新的ASCII字符,拼接转化的字符之后获得还原的base64字符串,然后再做base64解密。这里的4就相当于凯撒密码的密钥。第10把钥匙的结果是Vxvfwi{3h811h068i5fh27he4ef1f37723g7hh2}
2025-06-18 11:55:05
356
原创 SQL注入的实现与防范方法的研究
id=1,当我们输入id=1和id=2时,页面中 name 值和 password 的值是不一样的,说明此时我们输入的数据和数据库有交互并且将对应数据显示在了浏览器上。(3)没有进行PDO预处理的SQL,在输入SQL语句进行执行的时候,web服务器自己拼凑SQL的时候有可能会把危险的SQL语句拼凑进去。但如果进行了PDO预处理的SQL,会让MYSQL自己进行拼凑,就算夹带了危险的SQL语句,也不会进行处理只会当成参数传进去,而不是以拼接进SQL语句传进去,从而防止了SQL注入。开始判断是否存在注入,输入?
2025-06-18 11:53:41
764
原创 信息安全专业实训总结(第四天):CTF竞赛实战
5-2:将所给图片的格式改为jpg,放入101 Editor中得到字符串,进行base64解密得到二维码,扫描之后得到字符串再进行base64解码得到flag。5-2:将所给图片的格式改为jpg,放入101 Editor中得到字符串,进行base64解密得到二维码,扫描之后得到字符串再进行base64解码得到flag。2-3:用御剑扫描所给网址,得到后台页面和数据库的密码,然后进入数据库中找到flag。2-3:用御剑扫描所给网址,得到后台页面和数据库的密码,然后进入数据库中找到flag。
2025-04-26 11:16:56
215
原创 信息安全专业实训总结(第三天):应急响应实战
网络安全应急响应是针对网络安全事件所建立的系统性应对机制,其核心是通过预防、检测、处置和恢复等全流程措施,最大限度降低安全事件的影响。应急响应是组织机构为应对网络攻击、数据泄露等安全事件,通过技术和管理手段快速响应并恢复业务的过程,包含事前预防、事中处置和事后改进三个阶段。根据国家标准,其目标包括预防潜在风险、遏制事件扩散、修复系统漏洞及提升防御能力。制定应急预案,组建包含领导小组、技术保障小组的应急团队,明确职责分工;部署流量分析、漏洞检测等工具,定期开展攻防演练和人员培训。
2025-04-24 18:01:59
379
原创 信息安全专业实训总结(第二天):流量分析&安全杂项实战
安全杂项MISC(Miscellaneous)是网络安全竞赛(如CTF)中涵盖多种无法归类到传统安全领域(如Web、逆向、密码学等)的综合性题型集合。题目形式灵活,既包含基础操作(如文件修复、进制转换),也涉及复杂场景(如流量分析、内存取证)。包含攻击源定位(IP/地理位置)、攻击路径还原(横向移动路线)、攻击意图推断(数据窃取/系统破坏)三个核心目标。文件操作:如文件类型识别(file命令/010editor检测文件头)、文件分离与合并(使用binwalk/dd命令)。
2025-04-22 16:35:20
343
原创 信息安全专业实训总结(第一天):漏洞攻击实战
SQL注入(SQL Injection)是一种代码注入技术,攻击者通过在应用程序的输入字段中插入(或“注入”)恶意的SQL代码,从而欺骗应用程序的后端数据库服务器执行非授权的任意SQL命令。文件上传漏洞的危害包括:上传的文件如果是web脚本语言,服务器的web容器可能会解释并执行这些脚本,导致代码执行。通过本次专业实训,初步了解了漏洞攻击的一般步骤,SQL注入的基本原理,XSS攻击的基本原理,文件上传的基本原理,文件包含的基本原理,并能能根据漏洞原理展开攻击。
2025-04-21 19:12:40
260
原创 CTF例题(writeup)
观察最后的AA,联想到base64编码最后常出现的==,A的ASCII码值为65,=的ASCII的码值为61,分析可能是base64编码做了偏移,尝试将密文所有字符的ASCII码值-4,然后再做base64解码。遍历密文字符串的每个字符,获取它的ascii码值,-4之后转化为新的ASCII字符,拼接转化的字符之后获得还原的base64字符串,然后再做base64解密。这里的4就相当于凯撒密码的密钥。第14把钥匙的结果是Rtrbse{3d811d068e5bd27da4ab1b37723c7dd2}
2024-06-23 14:21:18
853
原创 差分密码分析的原理与实践
从表中可以看出,S盒的每一列之和为10,由上述公式所以我们可以得出Δ 矩阵的最大项D ( S ) = 2 ,最大差分概率DP(S) =D(S) /q = 2^−2.3219,最大值差分值越小表明 S 盒的差分均匀性越好,抗差分攻击能力越强。对于大型的S盒,多选择几对明文对,使用相同的密钥,得出密钥k的另外几组候选值,我们可以知道,正确的密钥一定落在上述几组候选密钥的交集中,这样可以缩小密钥的范围。随着密码学的发展和新的攻击方法的出现,我们需要不断研究和改进现有的密码分析方法,以确保信息的。
2024-06-23 14:15:24
2079
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人