xdzjldy

1.生成HTTP请求消息1.1输入网址(URL)包含服务器的域名和要访问的文件的路径名：http:访问Web服务器ftp:访问FTP服务器包含收件人的邮件地址：mailto:发邮件URL开头的文字表示浏览器应当使用的访问方法，可以理解为访问时使用的协议类型。 1.2浏览器解析URL将其中各个元素拆分出来省略文件名的情况服务器上事先设置好文件名省略时要访问的默认文件名。大多数情况下是index.html或default.htm之类的文件名 2.向DNS服务器查询Web服务器的IP地址3.全世界DNS服务器的大接力4.委托协议栈发送消息

XSS攻击的分类（1）来自内部的攻击利用程序自身的漏洞，构造跨站语句 （2）来自外部的攻击自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。XSS的分类1、反射型(非持久化)：用户点击链接触发。（1）原理攻击者向服务器端注入一段js代码，服务器端解析后响应，XSS代码随响应内容一起传回给浏览器，最后浏览器解析执行XSS代码。当用户浏览该页面时，嵌入Web里面的Script代码就会被执行。（2）判断是否存在反射型xss漏洞并利用① 判断有没有过滤一些特殊的字符比如对比输出的字符和输出的字符② 注入代码假如我输入的是1，提交后，点击查看网页源代码③ 插入代码“>< img src=1 onerror=”alert(/xss/)”/> #如果读取图片失败，则用alert显示相关信息显示了信息，则说明存在xss注入④ 利用xss漏洞将刚刚成功注入代码并能触发xss的网址通过电子邮件等方式发送给对方的手中，如果结合xss平台，对方点击了链接，就能得到对方的cookie等信息2、存储型(持久化)（1）原理存储型XS ...

shell脚本打开文本编辑器(可以使用 vi/vim 命令来创建文件)，新建一个文件 test.sh，扩展名为 sh（sh代表shell），扩展名并不影响脚本执行，如果用 php 写 shell 脚本，扩展名就用 php 。#!/bin/bashecho “Hello World !”#! 是一个约定的标记，它告诉系统这个脚本需要什么解释器来执行，即使用哪一种 Shell。echo 命令用于向窗口输出文本。 运行 Shell 脚本有两种方法：1、作为可执行程序将上面的代码保存为 test.sh，并 cd 到相应目录：chmod +x ./test.sh #使脚本具有执行权限./test.sh #执行脚本要用 ./test.sh 告诉系统就在当前目录找。 2、作为解释器参数直接运行解释器，其参数就是 shell 脚本的文件名/bin/sh test.sh/bin/php test.php Shell 变量变量是用于存储数据值的名称。your_name=”runoob” 使用变量在变量名前面加美元符号your_name=”qinjx”echo $your_ ...

JavaScriptJavaScript 是一种脚本编程语言，它可以在网页上实现实时的内容更新。 直接写入 HTML 输出流:document.write(“<h1>这是一个标题</h1>“); document.write(“<p>这是一个段落。</p>“); 对事件的反应:<button type="button" onclick="alert('欢迎!')">点我!</button> 改变 HTML 内容:x=document.getElementById(“demo”); //查找元素x.innerHTML=”Hello JavaScript”; //改变内容 改变 HTML 图像: function changeImage() { element=document.getElementById('myimage') if (element.src.match("bul ...

HTML超文本标记语言是一种用于创建网页的标准标记语言。可以使用 HTML 来建立自己的 WEB 站点，HTML 运行在浏览器上，由浏览器来解析。HTML 是用来描述网页的一种语言。HTML 是一种标记语言标记语言是一套标记标签HTML 使用标记标签来描述网页 HTML语法结构<!DOCTYPE html><html> <head> <meta charset="utf-8"> <title>菜鸟教程(runoob.com)</title> </head> <body> <h1>我的第一个标题</h1> <p>我的第一个段落。</p > </body></html> <!DOCTYPE html> 声明为 HTML5 文档<html> 元素是 HTML 页面的根元素 <head> 元素包含了文档的元（meta）数据，如 <meta charset=" ...

Burpsuite1.Proxy：用于拦截和修改HTTP请求和响应，并允许用户在发送到目标服务器之前手动修改请求内容。 1.1.Intercept:允许用户拦截应用程序的HTTP和HTTPS请求，查看和修改请求，然后转发到目标服务器。使用Intercept，用户可以深入分析应用程序的请求和响应，并查找潜在的漏洞。Intercept还可以帮助用户快速验证漏洞的利用。 在浏览器上安装Proxy SwitchyOmega,进行快速代理。 须将浏览器的流量包转移到burpsuit上，burpsuit再进行发包。 1.2.HTTP history:记录了所有被拦截的请求和响应，使用户能够查看和分析以前的请求和响应。用户可以使用过滤器来搜索特定请求和响应，以便更轻松地查找和分析流量。 2.Target：用于设置测试目标，并让Burp Suite扫描目标应用程序以发现漏洞。 3.Dashboard:用于执行自动化漏洞扫描，包括SQL注入、跨站脚本等多种漏洞。 4.Repeater:用于显示请求和响应的详细信息，包括HTTP头和正文。 5.Intruder:用于发送请求的多个副本，以测试目标服务器 ...