LwhalE's blog

正向代理 概念正向代理是一种位于客户端和服务器之间的代理服务器。客户端将请求发送给正向代理，然后由代理服务器将请求转发给目标服务器。服务器将响应返回给代理服务器，再由代理服务器将响应转发给客户端。正向代理对客户端是透明的，客户端无需知道实际服务器的地址。 特点 隐藏客户端身份： 正向代理可以隐藏客户端的真实IP地址，保护客户端的隐私。 访问控制： 正向代理可以根据一定的规则限制或允许客户端...

浪费了很多时间在重新配置环境上面，我不中了 原理：理解成一个平台中搭建不同容器，执行不同进程，需要不同进程相互不可见，完全独立出去，就需要将进程隔离出去。 在Linux系统中，对一个进程进行隔离，主要是通过Namespace和Cgroup两大机制实现的。 Namespace（命名空间）机制是Linux内核提供的一种资源隔离技术，它将全局系统资源（如进程ID、网络、挂载点）划分成多个独立的空间...

因为之前整理笔记的时候没有把SQL靶场的学习搬上来，现在就和进阶SQL一起整理一下 参考文章：1 2 利用类型联合查询：sql底层逻辑是SELECT * FROM users WHERE id=(('$id'))LIMIT 0,1用户输入直接被拼接到了 $id 但是如果直接select的话会出现两个独立的SELECT ,MySQL 无法解析这种”多SELECT堆叠”，而uni...

概念与原理 CSRF（Cross-site Request Forgery，跨站请求伪造）是一种网络安全漏洞，也被称为 one-click attack 或者 session riding。攻击者诱导已登录用户在不知情的情况下，向受信任网站发送非预期的恶意请求（如修改密码、转账），从而冒用用户身份执行操作。它利用了浏览器自动发送Cookie的特性，核心是“冒用身份”而非“窃取数据”。 简单讲...

在之前学习文件包含的时候大概看过SSRF的攻击原理，主要是一种攻击方式的表示，请求资源的时候直接去获取内网资源。因此在理解这一块的过程中，我重新理了一下IP，主机，端口，域名以及内网的存在方式和关联方式 SSRF的原理和概念SSRF是Server-side Request Forge的缩写，中文翻译为服务端请求伪造。产生的原因是由于服务端提供了从其他服务器应用获取数据的功能且没有对地址和协议...

学习文章 这次文章的学习给我最大的启发不是知识上的，而是我发现我看文章还是需要写出来理，果断选择先理再另外写一版上传 XML（可扩展标记语言）主要通过 DOM（文档对象模型）和 SAX（简单 API）进行解析和处理，核心类包括代表文档结构的 Document、元素节点的 Element、属性的 Attribute 以及节点的基础类 Node。这些类在 .NET、Java (DOM4J...

PHP魔术方法 __construct() → 创建对象时自动执行；对象被实例化时触发 __destruct() → 对象销毁时自动执行 __get($name) → 读取不存在的属性时调用；用于从不可访问的属性读取数据或者不存在这个键都会调用此方法 __set($name, $value) → 设置不存在的属性时调用；用于将数据写入不可访问的属性 __isset($name) → 对不存在...

原理是Web应用未对用户输入进行过滤，直接将其嵌入模板内容中。模板引擎在编译渲染时，误将攻击者输入的特殊符号或代码识别为模板语言并执行，导致任意代码执行（RCE）或文件读取等风险 前置学习基础payload参考 在类的获取中主要用到的： __class__：返回类型所属的对象 __mro__：返回一个包含对象所继承的基类元组，方法在解析时按照元组的顺序解析。为了方便且快速地看清继承关系和顺序...