2018-04-24
xss分類:
反射xss,一般存在於輸入框(搜尋框等),過濾不嚴。提交的資料中包含指令碼,把使用者當前cookie傳送到指定伺服器。反射xss是非持久xss,就提交框內惡意**當次請求有效。此為被動觸發型,通常使用場景是構造包含惡意**的url,引誘使用者點選觸發。
android上的xss攻擊,調研不深,因為還對android不太了解。預計明天調研。
其他:逆向:(ddctf-baby_mips)花指令的識別,遇到執行報錯的指令(或者程式無法正常執行或執行不到正確的邏輯上),而且有ida解析不了的大量資料塊。考慮兩方面:
第一,有沒有printf函式,利用棧溢位跳轉到正確的程式邏輯,這個是看雪上之前乙個題目的啟發。需要輸入正確的flag並且跳轉到指定位址才可以執行真正的校驗函式。
第二,觀察指令,如果包含很多跳轉指令或是無效指令,考慮花指令。花指令的去除可以使用idc指令碼,這個了解還不深,關於花指令的去除,以後做專門總結。
關於mips,可以利用jeb2-demo-mips工具進行反編譯。之前不知道,先做乙個記錄,這個題目還沒有處理完。
明日預計:
關於android平台xss的了解,逆向baby_mips的總結,ddctf-re2的試探。
mysql 第一天 MySQL 系列第一天
mysql 系列第一天這篇文章是黑馬程式設計師 mysql 教程的筆記,好好學習哦。和 mysql 資料庫的互動 客戶端單向連線認證 連線伺服器,認證身份。mysql 資料庫屬於 c s 架構,所以開啟伺服器程式後,需要通過客戶端連線它。mysql 會自帶乙個客戶端程式,可以直接輸入賬號和密碼即可連...
上班第一天
上班第一天啊,沒有去上班。早上起的很早,快走的時候突然很不想去。最後決定不去了。早上肯定也沒有什麼事情,無非就是開會,改革之類的話,這種話年年都說,年年都是老樣子。小寶說今天他訂婚,早上還去上班,誰知道是真是假呢。今天是正月初八,30年前我爸和我媽結婚了。現在過年只剩下最重要的一件事情,陪爸媽坐坐,...
開學第一天
今天開學的第一天,心裡些許興奮,畢竟我的第一步還是邁出了。上午大家都進行了簡短的自我介紹,從中了解的其他人的一些故事。每乙個來黑馬的學員背後都有這樣或者那樣的故事。倒是很欽佩其中的一位大姐,她頗具傳奇色彩。而且現在是一位兩歲孩子的母親,她現在所有的壓力或許比我們在座的任何一位學員壓力都要大的多。從她...