1.安装apache sudo apt-get install apache2安装好之后测试一下，如果你在本地安装的apache那么直接在浏览器上访问：localhost或者127.0.0.1即可。如果是在服务器上安装的，输入服务器的ip地址。然后浏览器出现以下画面则apache2正常工作了&am…

代码说明.匹配除换行符以外的任意字符\w匹配字母或数字或下划线或汉字\s匹配任意的空白符\d匹配数字\b匹配单词的开始或结束^匹配字符串的开始$匹配字符串的结束\字符转义*重复零次或更多次重复一次或更多次?重复零次或一次{n}重复n次{n,}重复n次或更多次{n,m}重复n到m次[]范围…

同源策略 同源策略限制了不同源之间如何进行资源交互，是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定，URL由协议、域名、端口和路径组成，如果两个URL的协议、域名和端口相同，则表示他们同源。 1.file域的同源策略 …

Apache解析漏洞主要是因为Apache默认一个文件可以有多个用.分割得后缀，当最右边的后缀无法识别（mime.types文件中的为合法后缀）则继续向左看，直到碰到合法后缀才进行解析（以最后一个合法后缀为准） 1. 如图…

验证码绕过 https://www.cnblogs.com/mxm0117/p/12599668.html 防爆破 https://www.cnblogs.com/cx59244405/p/10410746.html token机制介绍 https://www.cnblogs.com/xuxinstyle/p/9675541.html 对于有token来防护csrf的，可以使用到Grep功能进行爆破，因…

开发安全应用的原则 1.深度防范（冗余，谨慎过头了） 2.最小权限（分配尽量少的权限） 3.简单就是美（复杂容易出错，出错导致漏洞） 4.暴露最小化（隐藏关键数据） 等…

随便找个后台界面，先让Nessus扫着 先简单手动试几个弱口令，提示用户不存在，那就可以尝试爆破用户名啦 whois查询，站长工具不支持edu.cn查询，备案查询等等没有发现什么有用信息，CDN查询无CDN，看…

碰到比较简单，很好辨认的验证码可以尝试此种方法爆破 审查元素，找到验证码对应URL 复制到域名后面访问一下，确定是验证码URL 然后，打开工具PKAV HTTP FUzzer，开始尝试自动识别验证码。 工具下载地址：htt…