SQL Injection Fundamentals题目:SQL 注入基础
解题思路
“remote code execution”(RCE)——远程代码/命令执行:属于服务端漏洞,由于开发人员在开发相关命令调用功能时,没有对用户输入的数据进行过滤和验证操作,导致攻击者输入的恶意代码字符被带入后端服务器执行,从而产生危害应用服务器的后果。
进入目标页面:
因为该漏洞的产生,就是基于攻击者的输入,由于后端服务端在实现某些服务时需要将用户输入的信息作为参数调用函数/方法,如果服务端没有对输入进行验证/过滤等安全操作,攻击者就可以基于服务端代码的语法注入恶意代码,服务端执行该段代码,最终实现攻击目的。
因此,根据题目要求,我们需要获取文件系统中的 /root(根目录)下的 flag ,在目标页面的 Username 和 Password 注入能够让服务端执行的且能获取对应目录下 flag 内容的代码即可完成注入攻击。
核心思路:将用户输入的数据拼接到代码中,并且被当成 sql 语句执行。
因为一般登录框与 MySQL 数据库进行交互的 sql ...
技术分享
未读静态资源静态内容是指在不同请求中访问到的数据都相同的静态文件。例如:图片、视频、网站中的文件(html、css、js)、软件安装包、apk文件、压缩包文件等。
CDN加速的本质是缓存加速。将服务器上存储的静态内容缓存在CDN节点上,当访问这些静态内容时,无需访问服务器源站,就近访问CDN节点即可获取相同内容。从而达到加速的效果,同时减轻服务器源站的压力。
动态资源动态内容是指在不同请求中访问到的数据不相同的动态内容。例如:网站中的文件(asp、jsp、php、perl、cgi)、API接口、数据库交互请求等。
当访问这些动态内容时,每次都需要访问(源)服务器,由服务器动态生成实时的数据并返回给您。因此CDN的缓存加速不适用于加速动态内容,CDN无法缓存实时变化的动态内容。对于动态内容请求,CDN节点只能转发回服务器源站,没有加速效果。
如果网站或App应用有较多动态内容,例如需要对各种API接口进行加速,则需要使用全站加速。全站加速能同时加速动态和静态内容,加速方式如下:静态内容使用CDN加速。动态内容通过路由优化、传输优化等动态加速技术以最快的速度访问服务器源站获取数据。从而达到全站 ...
技术分享
未读不想看博客的,可以直接看下面这个视频:
引用站外地址
TCP的三次握手和四次挥手
技术蛋老师
TCP的三次握手为了保证客户端和服务器端的可靠连接,TCP建立连接时必须要进行三次会话,也叫TCP三次握手,进行三次握手的目的是为了确认双方的接收能力和发送能力是否正常。
第一次握手: 客户端向服务器端发送报文证明客户端的发送能力正常
第二次握手:服务器端接收到报文并向客户端发送报文证明服务器端的接收能力、发送能力正常
第三次握手:客户端向服务器发送报文证明客户端的接收能力正常
视频里也提到了,如果客户端只是大量的发送SYN报文,而没有后续确认,就是DDos中的SYN泛洪攻击。
TCP的四次挥手建立TCP连接需要三次握手,终止TCP连接需要四次挥手