会话管理简介 Cookie: cookie常用于识别用户. cookie 是服务器留在用户计算机中的小文件,每当相同的计算机通过浏览器请求页面时,它同时会发送 cookie. 通过PHP能够创建并取回cookie的值. cookie只能读取所在域,单一域不能超过20个cookie,每个cookie文件长度上限位4k字节,浏览器最多储存300个cookie. Session: PHP中的session变量用于存储有关用户会话的信息,或更改用户会话的设置. Session 变量保存的信息是单一用户的…

实验问题回答 1.什么是表单 表单在网页中主要负责数据采集功能 一个表单有三个基本组成部分: 表单标签 表单域:包含了文本框.密码框.隐藏域.多行文本框.复选框.单选框.下拉选择框和文件上传框等 表单按钮:包括提交按钮.复位按钮和一般按钮.表单按钮可以用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来控制其他定义了处理脚本的处理工作 2.浏览器可以解析运行什么语言 超文本标记语言:HTML 可扩展标记语言:XML 脚本语言:ASP.PHP.Script.JavaScript.V…

一.实验后回答问题 (1)SQL注入攻击原理,如何防御 原理:SQL注入攻击是攻击者在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,把SQL语句当做用户名等输入正常网页中以获取数据库信息的攻击,最终达到欺骗服务器执行恶意的SQL命令. 防御措施其实很多,举几个例子: 1.数据有效性校验: 2.封装数据信息: 3.去除代码中的敏感信息: 4.替换或删除单引号: 5.指定错误返回页面: 6.限制SQL字符串连接的配置文件. 总而言之,就是要让web应用程序对用户输入数据的合法性进…

20145212罗天晨<网络对抗>第1周学习总结--逆向及Bof基础实践 逆向及Bof基础实践 一.实践目标 1.运行原本不可访问的代码片段 2.强行修改程序执行流 3.以及注入运行任意代码. 二.基础知识及实践准备 1.理解EIP寄存器及其功能 (1)IP是指令寄存器,存放当前指令的下一条指令的地址. (2)CPU该执行哪条指令就是通过IP来指示的. (3)EIP是32位机的指令寄存器. 2.理解汇编语言中call指令的功能 具体可参考此博客 汇编语言call和ret指令的具体执行 3.关于…

 Cookie和HttpSession 什么是会话: 用户开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话. 每个用户在使用浏览器与服务器进行会话的过程中,不可避免各自会产生一些数据,程序要想办法为每个用户保存这些数据,以便为客户提供更多的服务. 例如:用户点击超链接通过一个servlet购买了一个商品,程序应该想办法保存用户购买的商品,以便于用户点结帐servlet时,结帐servlet可以得到用户购买的商品为用户结帐. 思考:用户购买的商品保…

在shiro的主配置文件中配置,登出的请求经过的过滤器就可以了,在shiro的过滤器中有一个名称为logout的过滤 器专门为我们处理登出请求: 一.shiro会话管理器 shiro中也提供了类似于web中的session的机制 /** * 跳转到系统管理的主界面 * @return */ @RequestMapping("/index") public String index(Model model){ //可以通过Subject获取shiro会话中的用户身份对象 Users us…

一.对exploit,payload,encode的理解 exploit是利用系统漏洞,相当于一个动态的过程. payload是攻击载荷,用于实现对漏洞的攻击,是实现漏洞攻击最核心的代码. encode是用于实验特征码伪装的编码,可以实现免杀. 二.实验感想 这次实验运用不同的漏洞进行了攻击,其中比较纠结的攻击就是IE浏览器攻击和最后一个辅助模块的攻击.因为之前老师给出的windowsXP靶机中IE已经是更新过补丁的版本了所以导致攻击各种不成功,后来换了台虚拟机才做好了这个实验.至于辅助模块的攻…

恶意代码伪装技术实践 木马化正常软件. 啊哈--原本以为很复杂--然后我看了一下蔡野同学的博客,发现原理竟然如此简单-- 对原先生成病毒的代码稍作修改: 于是--把生成的后门软件改成骗人的名字:这里改成了VMware安装程序,先查杀一下: 点击运行,VM的安装程序果然跳了出来,但是美中不足的是长得很像命令行的后门程序也会跳出来,这个稍微懂一点的都会觉得哪里不对吧? 可以看出成功回连了kali: 通过wireshark可以看见许多互动,这里172.20.10.11是我的虚拟机ip,170.20.1…

注入shellcode实验 实验步骤 一.准备一段shellcode 二.设置环境 Bof攻击防御技术 1.从防止注入的角度来看:在编译时,编译器在每次函数调用前后都加入一定的代码,用来设置和检测堆栈上设置的特定数字,以确认是否有bof攻击发生. 2.GCC中的编译器有堆栈保护技术(结合CPU的页面管理机制,通过DEP/NX用来将堆栈内存区设置为不可执行.这样即使是注入的shellcode到堆栈上,也执行不了.) 3.此时就需要手动设置环境,具体在终端中输入如下: apt-cache searc…

后台管理员的管理功能,它主要用来管理后台的登录账号,绑定权限,当然如果想将后台管理扩展成企业相关管理系统,比如用于公司人事管理,在这个基础上进行适当扩展就可以了. 我们先看看界面效果(也可以看着数据字典来写页面和接口) 看起来功能项还是不少,管理员也可以直接改为员工管理.列表没有什么特别的地方,所以接口也比较简单,不详细讲解.当然你也可以在这个基础上增加一下按姓名.手机.账号.部门和职位等查询条件上去 @get('/api/system/manager/') def callback(): "&…