docker的安装和dvwa的下载
安装docker操作1:1、由于我本来安装过一次,但失败了,所以要先卸载原来的版本 sudo apt-get remove docker docker-engine docker-ce docker.io 2、同时更新apt包 sudo apt-get update 3、安装下面的包——作用:允许 apt 包管理器通过 HTTPS 协议访问软件仓库 sudo apt-get install -y apt-transport-https ca-certificates curl software-properties-common 4、添加Docker官方的GPG密钥 curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add - (有时候不能成功,可以多试几次就好了) 5、 将Docker 的官方软件仓库添加到系统的软件源列表中 (以便后续可以通过 apt 包管理器安装和管理 Docker 软件包) sudo add-apt-repository "deb...
csrf学习总结
CSRF(跨站请求伪造)成因:Web应用缺乏对请求来源的验证,导致攻击者可以利用用户已经登录的状态(通过Cookie)发起伪造请求。 Cookie起的作用: 自动携带机制:浏览器会自动携带Cookie,攻击者可以利用这一点发起伪造请求。 (如果用户已经登录了example.com,浏览器会在访问example.com的任何页面时自动携带session_id...
2025ISCC校赛web
战胜卞相壹用dirsearch扫一下,可以知道有robots.txt文件的 啊,想到当时很开心就有点想好笑,还以为发现flag了呢,发现只有“You can’t win here! Details determine success or failure!”这段文字, 回头看那个棋谱,想着有什么信息,用py显示一下,结果写的py得到的棋盘是反的 12345678910111213141516171819202122232425262728293031import matplotlib.pyplot as plt# SGF 格式的棋谱sgf_moves = [ "ae", "ce", "df", "cg", "ag", "ai", "ci", "ff", "hf", "jf", "gh", "ih", "le",...
ssrf
ssrf中的Url白名单检测的绕过一些应用程序只允许匹配上白名单范围内的输入,过滤器可能会在输入的开头或包含在输入中查找匹配项。您可以通过利用 URL 解析中的不一致来绕过此过滤器。URL 规范包含了许多在实现 URL 特定解析和验证时容易被忽略的特性: @的用法HTTP 基本身份认证特性允许 Web 浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,例如:https://expected-host:fakepassword@evil-host,这里的@是主域名解析,即@符号后面直接跟域名,@符号前面的内容会被视为用户名,相当于以 expected-host:fakepassword 的用户名访问 evil-host,至于用户名是啥不重要,关键是@后面的才是解析的地址! #的用法在 URL 中,#号后面的内容被称为片段标识符(fragment identifier),在客户端浏览器中,#及其后面的内容不会被发送到服务器。比如,访问http://example.com/page#fragment 时,浏览器只会向服务器发送...
