1988's Studio.

##HTTPS到底加密了什么？ ###多了 SSL 层的 HTTP 协议 HTTPS 就是在 HTTP 下加入了 SSL 层，从而保护了交换数据隐私和完整性，提供对网站服务器身份认证的功能，简单来说它就是安全版的 HTTP。 现在随着技术的发展，TLS 得到了广泛的应用，关于 SSL 与 TLS 的差别，我们不用在意，只要知道 TLS 是 SSL 的升级版本就好。 @F.png) 一般来说，HTTPS 主要用途有三个：一是通过证书等信息确认网站的真实性；二是建立加密的信息通道；三是数据内容的完整性。 上文为又拍云官网，我们可以通过点击浏览器地址栏锁标志来查看网站认证之后的真实信息，SS...

##浅说 XSS 和 CSRF 在 Web 安全领域中，XSS 和 CSRF 是最常见的攻击方式。本文将会简单介绍 XSS 和 CSRF 的攻防问题。 ###XSS XSS，即 Cross Site Script，中译是跨站脚本攻击；其原本缩写是 CSS，但为了和层叠样式表(Cascading Style Sheet)有所区分，因而在安全领域叫做 XSS。 XSS 攻击是指攻击者在网站上注入恶意的客户端代码，通过恶意脚本对客户端网页进行篡改，从而在用户浏览网页时，对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript，...

简介文件上传漏洞是web安全中经常利用到的一种漏洞形式。一些web应用程序中允许上传图片，文本或者其他资源到指定的位置，文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中，再通过url去访问以执行代码。但在一些安全性较高的web应用中，往往会有各种上传限制和过滤，导致我们无法上传特定的文件。本文将就此展开讨论，通过本文的学习你将了解到Web应用中文件上传的处理和验证发送流程，以及我们该如何绕过这些验证。 客户端验证 客户端验证是一种发生在输入被实际发送至服务器之前进行的验证。这类验证大都都是通过JavaScript，VBScript或HTML5来完成的。虽然，这对于用户来说响...

我来解释一下前段时间一直没有更博的原因！这个hexo deploy出问题。。 fatal: could not read Username for ‘https://github.com‘: No errorFATAL Something’s wrong. Maybe you can find the solution here: http://hexo.io/docs/troubleshooting.htmlError: fatal: HttpRequestException encountered. ʱbash: /dev/tty: No such device or addre...

##暑假来了~ 对于我来说，要是没有规划好自己的整个学习计划，那我的整个暑假就在睡和吃当中度过了，所以我专门从网上找来“如何高效学习“的励志鸡汤，提醒自己！ 我们之所以要高效学习，是“被逼”的。比如很多人喜欢在deadline前几天开始拼命，又比如很多学生在考试前一周开始刷夜，都属于这种情况。 ##干货但是如果没解决好动机问题，在压力之下拼命会让你很容易感到疲惫。可能1个星期，2个星期还可以，再长久不行了。这种情况，最后的结果往往是短时间爆发后更加猛烈地放纵自己。 我们要的不是1天，1个星期的长时间学习，而是希望能让自己具有大阶段范围内“长时间高效学习”的能力，这种能力，如果你找不到内心...

##1. 列表推导式 你有一个list：bag = [1, 2, 3, 4, 5] 现在你想让所有元素翻倍，让它看起来是这个样子：[2, 4, 6, 8, 10] 大多初学者，根据之前语言的经验会大概这样来做 bag = [1, 2, 3, 4, 5] for i in range(len(bag)): bag[i] = bag[i] * 2 但是有更好的方法： bag = [elem * 2 for elem in bag] 这叫做Pythpn的列表推导式。 ##2. 遍历列表 继续，还是上面的列表。 如果可能尽量避免这样做： bag = [1, 2, 3, 4, ...

前两天学习到基本的payload修改姿势，这次继续深挖== xml文件的具体标签 来看 boundaries.xml文件，模板里面分别定义了,,,,,六个标签。 标签： 标签就是我们使用sqlmap注入时候–level的命令，这个标签分别定义了1-5个等级的发包数量，默认是1，表示做最少的检测，level越高，检测的数量越高。level等于2时会检测cookie字段是否有注入，等于3时会检测User-Agent、Host、Referer等HTTP的头部字段是否有注入。 标签：该标签说明了sqlmap使用的条件从句，其中always表示测试所有。 标签:该标签定义了payload写入的位...

首先来讲讲sqlmap6种探测注入类型： 1, UNION query SQL injection（可联合查询注入） 联合查询简单来说就是通过union关键字将多条查询语句拼接在一起，并且把查询结果作为一个结果以一个表格的形式输出到页面，需要注意的是查询语句要符合1.相同列数2.相似的数据类型3.相同的编码。示例语句：-1’ union select 1,(select user()),(select version())–+，如果 查询结果无法返回到页面，则就需要考虑盲注。 2, Error-based SQL injection（报错型注入） 报错注入的核心思想是通过数据库的...

========== Python学习历程 ==========- Python是一种什么语言Python是一种计算机程序设计语言。你可能已经听说过很多种流行的编程语言，比如非常难学的C语言，非常流行的Java语言，适合初学者的Basic语言，适合网页编程的JavaScript语言等等。首 先，我们普及一下编程语言的基础知识。用任何编程语言来开发程序，都是为了让计算机干活，比如下载一个MP3，编写一个文档等等，而计算机干活的CPU只 认识机器指令，所以，尽管不同的编程语言差异极大，最后都得“翻译”成CPU可以执行的机器指令。而不同的编程语言，干同一个活，编写的代码量，差距也很 大。比如...

========== 学期总结&寒假计划 ==========心路历程首先，本学期作为一个转专业的学生，一开始是有点不适应的，但好在班里的同学都还是很友好的，功能共同为我们这个班级营造了浓厚的学习氛围。 我呢，自觉技术是不太行的，但在过去的半学期里也算是在努力充实自己，填充自己。（实验室的学习氛围也是挺好的） 上面就是一堆碎碎念的话，不要在意。 上学期总结然后这学期在专业的信安学习方面也才算入了个门，懂得了大概的学习方法，掌握了必要的知识。 在网络攻防这门专业课上也是跟着老师的节奏在慢慢学习，主要分为： * SQL注入 数字型注入 字符型注入 过滤了特...