# XSS 跨站脚本攻击 xss 也叫 css 为了和层叠样式表（Cascading Style Sheets，CSS）的缩写区分。因此将跨站脚本攻击缩写为 XSS。 xss 攻击是指攻击者在网页中嵌入客户端脚本，通常是 js 代码，在用户访问时，恶意代码执行 # 原理刨析 攻击者可以通过一些方式向网页中写入恶意代码，导致用户在加载网页时浏览器渲染执行了恶意脚本 上面提到 xss 攻击是嵌入客户端脚本，大多数是 js，少部分使用 AS 和 VBS，那么也就是说在能够利用漏洞的情况下，js 能做到什么效果，xss...

# web1 CTRL+u 解决 # web2 同 web1 # web3 http 头中 # web4 查看 robots.txt 访问 /flagishere.txt # web5 访问 phps 下载源码 # web6 有 www.zip, 下载拿到 flag # web7 git 的源码泄露，直接访问.git/index.php # web8 svn 源码泄露同上 # web9 修改文件时意外退出，生成缓存文件 # web10 查看 http 头部的 cookie 头 # web11 域名 dns 解析，设置说明 # web12 robots.txt...

应邀搭建一个小博客，hexo+github 搭建方便（重点是可以白嫖） # 环境配置 安装 node.js----Node.js 官网 安装完成后，使用命令 node -v，出现下面的信息则证明安装成功 安装 git 安装成功后执行命令 git --version GitHub 上面建立新的储存库 这里有个地方需要注意，一是名字一定要是用户名.github.io (不然会有很多问题) 进入建好的项目的设置按钮中 打开这个链接就已经有部署到网络上面的网页 # 安装 hexo 创建一个文件夹存放部署在本地的文件，我这里选择放在 F 盘 在 dos 命令框中输入 npm install...

# 实验 1：CentOS 8 安装、网络配置、远程访问 实验目的 1、掌握 Linux 虚拟机的安装方法； 2、掌握 Linux 网络配置方法； 3、掌握远程访问 Linux 系统的方式。 # 1. 实验要求 任务 1：安装虚拟机；（实验过程可以省略） 任务 2：安装 CentOS 8（建议：最小化安装）； （安装成功后的截图即可） 任务 3：配置网络为 NAT 模式，实现物理机与虚拟机的相互访问。（要求：IP 地址段为学号后两位，即 192.168. 学号.**） （1） 虚拟机配置为动态 IP 地址，Ping 物理主机测试连通性。 （2） 虚拟机配置为静态 IP 地址，Ping...

# 实验 2：Samba 服务器配置 实验目的 1、了解 Samba 协议，理解 Samba 的工作原理 3、熟练掌握 Samba 服务器的配置和故障排除的思路、方法技巧 4、深入理解 Linux 的文件权限管理 4、掌握防火墙 Firewall 的基本配置 5、初步学会配置 SELinux 实验参考 实验步骤可参考《2-1-Samba 服务器配置匿名共享.pdf》文件。 实验步骤可参考《2-2-Samba 服务器配置_安全共享.pdf》文件。 # 1. 实验要求 任务 1：配置 yum 源，使用光盘镜像或者阿里云的 YUM 源安装 Samba 服务包。 任务 2：Samba...

# 2.1 关系数据库结构及形式化定义 # 2.1.1 关系 单一的数据结构 -- 关系 现实世界的实体以及实体之间的关系均用关系来表示 逻辑结构 --- 二维表 从用户角度，关系模型中数据的逻辑结构是一张二维表 # 域 域是一组具有相同数据类型的值的集合 整数、实数、自然数 某一个范围的数 指定长度的字符串集合 # 笛卡尔积 笛卡尔积 给定一组域 D1，D2，…，Dn，这些域中可以有相同的。 D1，D2，…，Dn 的笛卡尔积为： D1×D2×…×Dn ＝...

# 1.1 数据库系统概述 # 1.1.1 四个基本概念 # 数据（data）（选择填空） 数据是数据库中存储的基本对象 定义：数据是描述事物的符号记录 数据的种类有文本，图形，图像，音频，视频，学生的档案记录，货物的运输情况 数据的特点：数据与语义是密不可分的（数据的含义称为数据的语义） 数据是现象，而信息反应实质 # 数据库（database） 定义：数据库是长期储存在计算机内，有组织的、可共享的大量数据的集合 数据库的基本特征有 数据按照一定的数据模型组织、描述和储存 可为各种用户共享 冗余度较小 数据独立性较高 易扩展 # 数据库管理系统（DBMS）Database...

# php 伪随机数爆破格式转化 str1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'str2 = 'KVQP0LdJKRaV3n9D'str3 = str1[::-1]length = len(str2)res = ''for i in range(len(str2)): for j in range(len(str1)): if str2[i] == str1[j]: res += str(j) + ' ' + str(j) +...

[TOC] # 文件上传漏洞 在文件上传漏洞中，文件上传本身没什么问题，重点是文件上传到服务器后，服务器怎么解析上传的文件，上传漏洞的成因是开发者没有对用户上传的文件进行严格的过滤，攻击者可以上传危险文件 # 解析漏洞 攻击者利用上传漏洞通常会与 web 容器的解析漏洞相结合，下面简单记录一下常见的 web 容器的解析漏洞 # IIS 解析漏洞 iis 中当文件夹命名为【*.asa】或者【**.asp】时，其目录下的所有文件都会被当作 asp 文件来解析 当文件为 *.asp;1.jpg 时，IIS6.0 同样会将文件当作 asp 解析 # Apache 解析漏洞 Apache...

[TOC] # 1，数据结构与算法入门 程序=数据结构+算法 研究非数值计算的程序设计问题中计算机的操作对象以及它们之间的关系和操作 因为操作对象和操作对象之间的关系不同产生不同的数据结构 # 算法 何为算法，使用计算机 C 语言编程计算 1 到 100 的和（1+2+3+……+100）多数会给出这样的答案 #include <stdio.h>int main() { int ans=0,i; for(i=1;i<=100;i++){ ans+=i; }...