Web安全-CTF

mysql复习

mysqlselect语法selectfromjoinwheregroupbyhavingorderbylimit联合查询innerjoin（）leftjoin（以左表为基准，匹配右表，不匹配的返回左表

立夏的李子·2025-07-29 22:11

一分钟了解什么是SCI影响因子？

影响因子详解期刊的影响因子（ImpactFactor），指的是该刊前二年发表的文献在当前年的平均被引用次数。

学术投稿人·2025-07-29 19:49

《跨域资源共享CORS的深层逻辑与前端实践精要》

现代Web安全体系中平衡开放与防护的精妙设计。理解CORS的深层逻辑，不仅能解决实际开发中的跨域难题，更能触及网络安全与资源流通的核心矛盾，为前端工程师构建稳健的应用提供底层认知支撑。

·2025-07-29 17:04

代码审计与web安全选择题1

软件供应链安全的基础是（）A.完善的需求分析B.源代码安全C.渗透测试D.软件测试参考答案：B保证源代码安全的主要措施包括（）A.开发工具和环境的安全B.代码安全C.渗透测试D.代码审计E.软件的说明文档完整参考答案：ABCD通过（）技术，实现源代码在终端、网络及服务器存储场景下全周期的安全管理，防止内部代码有意、无意泄露、扩散出去。A.数据加B.数据脱C.数据安全隔离D.防火墙参考答案：C软件供

m0_74726609·2025-07-29 10:14

CTF-Web学习笔记：SQL注入篇

2.SQL注入的成因二、CTF中常见的SQL注入类型1.按参数类型分类2.按注入方式分类3.其他进阶类型三、CTF实战技巧：从找注入点到拿Flag1.如何判断是否存在注入？

编程到天明·2025-07-29 09:31

英语日积月累2023-06-06

Thesoundtrackisfuzzyinplaces.respectfullyrespectfullyrespectfully恭敬地“嗯，当然，先生。”田鼠恭恭敬敬地回答。"

抽刀断水2·2025-07-29 04:02

WEB安全--Java安全--jsp webshell免杀

1.1、BCELClassLoader介绍（仅适用于BCEL6.0以下）：BCEL（ApacheCommonsBCEL™）是一个用于分析、创建和操纵Java类文件的工具库；BCEL的类加载器在解析类名时会对ClassName中有BCEL标识的类做特殊处理，该特性经常被用于编写各类攻击Payload。当BCEL的loadClass加载一个类名中带有BCEL$$”的类时会截取出BCEL后面的字符串，然

·2025-07-28 13:04

equals和hashCode的关系，equals相等，hashCode就必须要相等吗？

答案是否定的，equals相等，hashCode也是可以不相等的，看下面的那个例子：packagecontroller.abstractfactory;importj

架构师springboot·2025-07-28 09:04

PostgreSQL LIKE 子句

语法以下是使用LIKE子句搭配百分号%和下划线_从数据库中获取数据的通用语法：SELECTFROMtable_nameW

嘀嗒运维·2025-07-28 04:58

react class和function 如何模拟vue中的双向绑定监听 computed的方式

下面我将分别介绍：1.类组件中的双向绑定在类组件中，要实现双向绑定（如表单输入），我们通常使用state和onChange：importReactfrom'react';classMyFormextends

·2025-07-28 03:50

CTF入门教程（非常详细）从零基础入门到竞赛，看这一篇就够了！

一、CTF简介CTF（CaptureTheFlag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。

网络安全宇哥·2025-07-27 15:55

【Web安全】逻辑漏洞之URL跳转漏洞：原理、场景与防御

文章目录前言一、漏洞本质二、攻击原理正常跳转流程漏洞触发流程三、抓包的关键时机：跳转参数生成时四、风险场景1.登录/注册后跳转2.退出登录跳转3.分享/广告链接跳转4.密码重置链接跳转五、漏洞挖掘：怎么找到这种漏洞？1.找到跳转参数2.篡改参数测试3.绕过网站的简单拦截六、漏洞危害：被利用后会发生什么？七、URL跳转漏洞危害实例：从正常登录到信息被窃的全过程1.正常登录流程（无漏洞时）2.漏洞被利

介一笔记·2025-07-26 19:25

SQL实战宝典：常用语句全解析

SQL常用语句分类示例数据查询（SELECT）查询所有列：SELECT*FROMemployees;查询特定列并排序：SELECTfirst_name,last_nameFROMemployeesORDERBYhire_dateDESC

·2025-07-26 02:25

前端开发命名规范

一.常见命名种类目前收集到的常见的命名方式主要有以下4种：驼峰命名法（camelCase）首字母小写，从第二个单词开始首字母大写，例如：myProjectFolder帕斯

十月不到底·2025-07-25 18:28

Node.js特训专栏-实战进阶：17.会话管理与安全存储

Node.js特训专栏主页专栏内容规划详情会话管理与安全存储：从原理到实战的Web安全实践在Web应用中，会话（Session）是维持用户状态的核心机制——从用户登录到退出的整个过程中，会话管理负责跟踪用户身份

爱分享的程序员·2025-07-24 19:22

Python 程序无法找到 Oracle 的 64 位客户端库 (libclntsh.so)

数据库错误:DPI-1047:Cannotlocatea64-bitOracleClientlibrary:"libclntsh.so:cannotopensharedobjectfile:Nosuchfileordirectory

期待着2013·2025-07-24 15:23

SpringIOC源码(三)——getBean及createBean做了什么

getMergedLocalBeanDefinition()三doGetBean1.getSingleton(StringbeanName,booleanallowEarlyReference)2.getObjectForBeanInstance

天凉好个球儿·2025-07-24 10:46

业务流逻辑如何搭建？为何橙武平台选用了 LogicFlow？

我们评估过包括BPMN.js、ReactFlow、AntVG6、JointJS等多种图形与流程编排引擎，最终选择了滴滴开源的LogicFlow作为橙武平台的核心业务流程引擎。

橙武科技·2025-07-23 02:28

vue3使用AntV X6 (图可视化引擎)历程[二]

BloodTopology.vuerightContentimportRightDrawerfrom'@/common/components/topologyToolKit/RightDrawer.vue';importTopologyCompactfrom

在路上`·2025-07-22 17:29

【Java代码审计 | 第五篇】XSS漏洞成因+实战案例

表达式输出用户输入3、在Thymeleaf模板中输出用户输入4、在JavaScript中嵌入用户输入实战案例案例1案例2案例3XSSXSS（跨站脚本攻击，Cross-SiteScripting）是一种常见的Web

秋说·2025-07-22 13:03

【Web安全】逻辑漏洞之支付漏洞：原理、场景与防御

文章目录前言一、漏洞本质二、攻击原理正常支付流程漏洞触发流程三、抓包的时机选择：生成订单时四、风险场景1.隐藏商品购买（开发人员预留的测试商品）2.付费功能免费使用（添加付费参数：JS中查询、先买个会员抓包查看）3.修改订单类型（0改成-1、1、2、3）4.修改通用参数（自动计算最终折扣）五、检测方式1.黑盒测试：模拟攻击流程2.白盒审计：代码层校验逻辑排查六、防御方案1.严格校验关键参数2.订单

介一笔记·2025-07-22 09:32

【CTF】青少年CTF擂台挑战赛 2024 #Round 1 部分WriteUp_青少年ctf训练平台追光者(1)

给大家的福利零基础入门对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供：因篇幅有限，仅展示部分资料网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。需要这份系统化资料的朋友，可以点击这里获取一个人可以走的很

·2025-07-22 09:30

Web安全之CSP

内容安全策略(Content-Security-Policy,简称CSP)概念：内容安全策略(CSP)是一种web应用技术用于帮助缓解大部分类型的内容注入攻击，包括XSS攻击和数据注入等，这些攻击可实现数据窃取、网站破坏和作为恶意软件分发版本等行为。该策略可让网站管理员指定客户端允许加载的各类可信任资源。浏览器支持：统计来源：caniuse.com/contentsecuritypolicy&Mo

weixin_30649641·2025-07-22 06:08

内容安全策略（CSP）详解：Web安全的关键防线

目录一、CSP基础概念与核心价值1.1CSP的核心优势1.2主要防护目标二、CSP策略配置详解2.1基本指令集2.2典型配置方案三、高级防护技术与实践3.1非ce替代方案3.2哈希与nonce应用3.3常见配置错误与修正一、CSP基础概念与核心价值内容安全策略（ContentSecurityPolicy）是一种通过HTTP头或元素定义的安全标准，用于精确控制网页可以加载哪些外部资源，从根本上减少X

KP_0x01·2025-07-22 05:33

如何打CTF竞赛？

一、首先需要认识CTF竞赛1、什么是CTF竞赛？CTF(CaptureTheFlag)一般译作“夺旗赛”，在网络安全领域中指网络安全技术人员之间进行技术竞技的一种比赛形式。

jieyu1119·2025-07-21 18:22

md5 collision(NUPT_CTF)

md5collision(NUPT_CTF)100http://120.24.86.145:9009/md5.php访问题目链接，得到提示inputa,而题目是md5collision,md5碰撞。

胖佳儿Clara·2025-07-21 13:18

rce漏洞测试

RCE主要指远程代码执行和远程命令执行，CTFHub中将文件包含漏洞也看作RCE漏洞。漏洞分类远程命令执行远程代码执行文件包含漏洞实际上，RCE

·2025-07-20 21:46

重点句式114

今天的题目:Atthesametime,thepolicyaddressesnoneofthetrulythornyquestionsabouthomework.Ifthedistrictfindshomeworktobeunimportanttoitsstudents

俗世尘沙·2025-07-20 06:19

【Oracle】Oracle 11g 中扩展表空间

--查询当前数据文件路径和大小SELECTfile_name,bytes/1024/1024AScurrent_size_mbFROMdba_data_filesWHEREtablespac

瑞琪姐·2025-07-20 02:38

面试经验分享 | 成都某安全厂商渗透测试工程师

·2025-07-20 00:43

提高互联网Web安全性：避免越权漏洞的技术方案

目录一、越权漏洞概述二、常见的越权漏洞类型三、越权漏洞的影响四、越权漏洞的技术解决方案一、越权漏洞概述越权（AuthorizationBypass）类漏洞是指在系统中，攻击者通过绕过身份验证或访问控制，获取本不应访问的资源或执行本不应执行的操作。简单来说，越权漏洞发生时，用户能够访问或操作超出其授权范围的数据或功能。在Web应用中，越权漏洞通常出现在访问控制机制不严密、权限检查不充分或不正确的情况

码农老起·2025-07-19 23:39

C++ 设计模式：抽象工厂（Abstract Factory）

链接：C++设计模式链接：C++设计模式-工厂方法链接：C++设计模式-原型模式链接：C++设计模式-建造者模式抽象工厂（AbstractFactory）是一种创建型设计模式，它提供一个接口，用于创建一系列相关或相互依赖的对象

冀晓武·2025-07-12 18:32

【WEB安全】任意URL跳转

1.1.漏洞介绍URL跳转漏洞（URLRedirectionVulnerability）又叫开放重定向漏洞（OpenRedirectVulnerability），是一种常见的网络安全漏洞，它存在于许多网站和应用程序中。该漏洞的根本原因是没有对用户提供的URL进行充分的验证和过滤，导致攻击者可以通过构造恶意URL，将用户重定向到任意的网站或应用程序中。1.2.漏洞危害以攻击用户客户端为主，对服务器本

·2025-07-12 03:50

深入理解跨站请求伪造（CSRF）：原理、危害与防御

引言跨站请求伪造（Cross-SiteRequestForgery,CSRF）是一种常见的Web安全漏洞，攻击者通过伪装用户身份执行非授权操作。

weixin_47233946·2025-07-11 17:44

23种设计模式

创建型模式1.单例模式(Singleton)：确保有且只有一个对象被创建2.工厂方法模式(FactoryMethod)：由子类决定要创建的具体类是哪一个3.抽象工厂模式(AbstractFactory)

buyue__·2025-07-11 17:10

比较系统的web安全学习路线

更新中ing操作系统基础VM的安装虚拟机介绍VMwareWorkstation软件的安装VMware安装操作系统VMware网络配置详解虚拟机使用保存快照配置网络桥接模式NAT模式仅主机模式windows命令基础linux基础更换源设置中文安装中文输入法ubuntu系统设置root用户自动登录Linux目录结构文件权限VI/VIM的使用linux命令云服务器介绍VPS的作用云服务器提供方案介绍Do

蚁景网安·2025-07-11 08:38

【Note】《深入理解Linux内核》Chapter 16 ：深入理解 Linux 文件访问机制

《深入理解Linux内核》Chapter16：深入理解Linux文件访问机制关键词：VFS、文件描述符、structfile、structinode、open、read、write、close、dentry

CodeWithMe·2025-07-11 07:35

BUUCTF在线评测-练习场-WebCTF习题[GYCTF2020]Blacklist1-flag获取、解析

解题思路打开靶场，跟之前有一题很像，应该是一个出题人，增强了靶场提示黑名单对于我来说太薄弱了，不是吗？上次题我记得用的是堆叠注入+预编译或者更改表名..这次估计把这两都过滤了没关系，我们还是常规思路起手，先判断闭合，输入1'1'error1064:YouhaveanerrorinyourSQLsyntax;checkthemanualthatcorrespondstoyourMariaDBserv

·2025-07-11 03:40

CTFSHOW-WEB-36D杯

给你shell这道题对我这个新手还是有难度的，花了不少时间。首先f12看源码，看到?view_source，点进去看源码location.href=\'./index.php\'');if(!isset($_GET['code'])){show_source(__FILE__);exit();}else{$code=$_GET['code'];if(!preg_match($secret_waf,

wyjcxyyy·2025-07-10 12:01

DIDCTF-22蓝帽杯初赛

手机取证_1题目描述现对一个苹果手机进行取证，请您对以下问题进行分析解答。627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是？（答案参考格式：1920×1080）注意：中间为乘号×，不是字母xflag：360×360手机取证_2题目描述姜总的快递单号是多少？（答案参考格式：abcABC123）flag：SF1142358694796网站取证_1题目描述据

小丑001.·2025-07-10 11:24

【web安全】SQLMap 参数深度解析：--risk 与 --level 详解

目录简介一、--risk参数：测试风险控制1.基本定义2.各级别详细对比risk=1(默认)risk=2risk=33.使用建议二、--level参数：测试深度控制1.基本定义2.各级别详细对比level=1(默认)level=2level=3level=4level=53.技术实现差异4.使用建议三、参数组合策略1.经典组合方案2.DVWAHigh级别推荐四、性能与效果对比1.测试数据统计2.资

·2025-07-10 02:51

一文讲清楚React Fiber

文章目录一文讲清楚ReactFiber1.基础概念1.1浏览器刷新率（帧）1.2JS执行栈1.3时间分片1.4链表2.ReactFiber是如何实现更新过程控制2.1任务拆分2.2挂起、恢复、终止2.2.1

许先森森·2025-07-09 09:04

抽象工厂模式在React Hooks中的应用

在抽象工厂模式中有几个重要角色：抽象工厂（AbstractFactory）：它声明了一组用于创建一族产品的方法，每一个方法对应一种产品。

·2025-07-09 09:03

已解决：React在Chrome F12 调试台断点调试中跳过node_modules内部黑盒

一、debugger代码如下当我在探究根节点和容器源码时候，将debugger代码添加在如下位置：importReactfrom'react';//用到JSXimportReactDOMfrom'react-dom

gzzeason·2025-07-09 09:32

WinUI3入门16：Order自定义排序

初级代码游戏的专栏介绍与文章目录-CSDN博客我的github：codetoys，所有代码都将会位于ctfc库中。已经放入库中我会指出在库中的位置。

·2025-07-08 22:25

Ubuntu 20.04安装FlClash

会遇到如下的问题，并附上解决方法（1）FlClash:errorwhileloadingsharedlibraries:libkeybinder-3.0.so.0:cannotopensharedobjectfile

墨玦子·2025-07-08 18:29

BUUCTF在线评测-练习场-WebCTF习题[网鼎杯 2020 青龙组]AreUSerialz1-flag获取、解析

解题思路打开靶场，贴有源码process();}publicfunctionprocess(){if($this->op=="1"){$this->write();}elseif($this->op=="2"){$res=$this->read();$this->output($res);}else{$this->output("BadHacker!");}}privatefunctionwrit

码农12138号·2025-07-08 12:49

Vite 常用配置详解

的常用配置项及其说明：1.基础配置(vite.config.js)import{defineConfig}from'vite'importvuefrom'@vitejs/plugin-vue'importreactfrom

啃火龙果的兔子·2025-07-08 07:05

网络安全/Web安全/渗透测试入门/信息收集

网络安全/Web安全/渗透测试入门/信息收集本篇文章主要讲解如何进行信息收集，列举了在信息收集中常见的工具和手段。

&Sinnt&·2025-07-07 19:37

利用systemd启动部署在服务器上的web应用

（启动命令是npmrundev）,创建systemd服务文件sudonano/etc/systemd/system/frontend.service内容如下：[Unit]Description=ReactFrontendDevServerAfter

不是吧这都有重名·2025-07-07 18:31

推荐频道