腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Mirror的技术成长

专栏作者

161

文章

176244

阅读量

30

订阅数

权限安全管控的设计想法

OWASP发布最新的《2021年版OWASP TOP 10》，其中“Broken Access Control（失效的访问控制）”位居第一，访问控制安全是常规安全产品难以解决的逻辑漏洞安全之一，也是在应用层危害最大的，基于此，个人参考过去挖洞所遇到的此类问题提出一些想法。【个人想法，注重交流】

Mirror王宇阳

2021-12-21

8250

ThinkPHP 5.x.x RCE 总结

ThinkPHP 5.x [路由控制不严谨] RCE 影响范围 ThinkPHP 5.0-5.0.23 ThinkPHP 5.1-5.1.31 Payload ?s=index/think\reque

Mirror王宇阳

2021-06-22

1.4K0

Docker快速学习

容器 ubuntu linux 容器镜像服务

必须认识到Docker与VmWare时不可以共存的，Docker利用了win的Hyper-V技术，开启Hyper-V(Windows10 专业版)安装win for Docker;

Mirror王宇阳

2021-01-18

3590

任意文件下载漏洞的接口URL构造分析与讨论

php http 网站 sql

文件下载接口的URL构造分析与讨论某学院的文件下载接口 http://www.****.edu.cn/item/filedown.asp?id=76749&Ext=rar&fname=filedow

Mirror王宇阳

2021-01-18

1.4K0

【爬虫】获取Github仓库提交纪录历史的脚本 python

本脚本为第一版开发；后续会进行扩展 #! python3 import requests import time, datetime import json from colorama import Fore,Back,Style,init from bs4 import BeautifulSoup process = 0 output = 0 def req(type,addr,data='',**args): if type == 'get': try:

Mirror王宇阳

2020-12-16

1.2K0

React入门学习笔记

渲染编程算法 react

这里的constructor()初始化了props，state.value=null；当点击后，state.value=X;

Mirror王宇阳

2020-12-16

2.5K0

Web安全攻防(简)学习笔记

网络安全 php 网站 sql 数据库

信息收集是渗透测试全过程的第一步，针对渗透目标进行最大程度的信息收集，遵随“知己知彼，百战不殆”的原则，先了解目标在利用目标。

Mirror王宇阳

2020-11-13

1.2K0

Linux下PHP+Nginx环境搭建

php nginx 云推荐引擎编程算法打包

vi打开：/etc/sysconfig/network-scripts/ifcfg-ens33 文件

Mirror王宇阳

2020-11-13

2.8K0

HTML学习笔记一

如上就是最简单的HTML文档内容，< html> 标签之间描述的代码内容就是描述网页（文档内容），< body>标签之间的文本代表可见的网页文档内容，< h1>代表一级标题，< p>代表一个内容段落

Mirror王宇阳

2020-11-13

2.5K0

DDoS的攻击方法

dns tcp/ip SSL 证书 https 网站

网络控制消息协议（ICMP）是TCP/IP协议级当中核心之一，用于在网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈。

Mirror王宇阳

2020-11-13

3.1K0

常见的Web源码泄露总结

安全网络安全网站

常见的Web源码泄露总结源码泄露方式分类 .hg源码泄露漏洞成因： hg init 的时候会生成 .hg 漏洞利用：工具： dvcs-ripper .git源码泄露漏洞成因：在运行git init 初始化代码库的时候，会在当前目录下产生一个.git的隐藏文件，用来记录代码的变更记录等等。在发布代码的时候，如果该文件没有删除而是直接发布了，那么使用这个文件，就可以恢复源代码。漏洞利用：工具：GitHack .DS_Store文件泄露漏洞成因：在发布代码的时候未删除隐藏文件汇总的.DS_Sto

Mirror王宇阳

2020-11-13

6930

http tcp/ip php dns 网站

信息泄露敏感信息泄露信息泄露会暴露服务器的敏感信息，使攻击者能够通过泄露的信息进行对网站的进一步入侵软件敏感信息操作系统版本可以通过NAMP等扫描得知中间件的类型以及版本 http返回头判断 404报错页面（很多中间件会自定义404页面）使用工具（例如whatweb:这是一种网站指纹识别工具） Web程序（CMS类型以及版本、敏感文件）使用工具（whatweb、cms_identify） Web敏感信息 phpinfo()信息泄露： http://[ip

Mirror王宇阳

2020-11-13

1K0

Shodan搜索引擎在信息搜集中的应用

网络安全安全网站 tcp/ip 数据分析

Shodan可以在全球范围内动态IP、随机扫描端口服务【WebCam、LinkSYS、Cisco、Netgear、SCADA、IoE物联设备】；Shodan可以非常的轻松方便的找到（联网）物联网设备。

Mirror王宇阳

2020-11-13

6780

Google在情报搜集中的基础技巧

Google Hacking 是指使用特定的高级的google搜索语法，收集渗透测试目标的信息，查找目标的配置缺陷和漏洞脆弱点等；重要记住的是：Google浏览器是最标准的（完全符合W3C标准）的浏览器，FireFox则是最安全插件扩展功能最为全面的浏览器（ps：没有绝对的阿暖哦），正是由于以上两点原因，所以Google和FireFox浏览器是“安全人员”最受欢迎的凉快浏览器。

Mirror王宇阳

2020-11-13

7100

SQL 注入漏洞浅研究学习

网络安全安全 sql 数据库云数据库 SQL Server

SQL注入漏洞：Web安全方面最高危的漏洞，SQL漏洞威胁着网站后台数据的安全问题。

Mirror王宇阳

2020-11-13

7160

Java 异常处理

c++编程算法 java

异常是导致程序中断执行的一种指令流，异常一旦出现并且没有进行合理处理的化，那么程序将会中断执行。

Mirror王宇阳

2020-11-13

5070

CTF 入门笔记

web1：水题非常简单的题目，直接F12查看元素即可，在HTML代码中，flag被注释了。

Mirror王宇阳

2020-11-13

7170

Java 覆写初探

default overloading private public super

　　继承性的主要特征是子类可以根据父类已有的功能进行功能扩展，但是在子类定义属性或方法的时候有可能定义属性和方法和父类同名，在此类情况下就称为：“覆写”。

Mirror王宇阳

2020-11-13

6600

Java 数组实现堆栈操作

class Stack { private int stck[] ; private int tos ; Stack(int size) { // 一个参数的构造参数 stck = new int[size] ; // 创建数组（创建堆栈） tos = -1 ; // 空堆栈标识 -1 } // 堆栈操作的特性：先进后出、后进先出 void push(int item) { // 入栈

Mirror王宇阳

2020-11-13

5550

web安全漏洞种类

网站访问管理安全漏洞 php sql

SQL注入（SQL Injection），是一个常见的发生于应用程序和数据库之间的web安全漏洞，由于在开发过程中的设计不当导致程序中忽略了检查，没有有效的过滤用户的输入，是攻击者可以向服务器提交不正常的访问数据（即恶意的的SQL命令代码），程序在接收后错误的将攻击者的输入作为代码语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者静心构造的恶意代码，从而绕过验证机制和权限检查，达到取得隐藏数据或覆盖关键的参值，甚至执行数据库主机操作系统命令的目的。

Mirror王宇阳

2020-11-13

1.3K0

点击加载更多

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态