内容参考于：易道云信息技术研究院VIP课上一个内容：游戏底层功能对接类GameProc的实现码云地址（master分支）：https://gitee.com/dye_your_fingers/titan码云版本号：44c54d30370d3621c1e9ec3d7fa1e2a028e773e9代码下载地址，在titan目录下，文件名为：titan-接管游戏连接服务器的操作.zip链接：https://pan.baidu.com/s/1W-JpUcGOWbSJmMdmtMzYZg提取码：q9n5--来自百度网盘超级会员V4的分享HOOK引擎，文件名为：黑兔sdk升级版.zip链接：https:/

1、数据请求方式-GET&PO$T&COOKIE等2、常见功能点请求方式-用户登录&1P记录等3、黑盒白盒注入测试要点-$QLMAP注入参数补充点：黑盒测试：功能点分析白盒测试：功能点分析&关键代码追踪提交方式注入-getpo$tcookiehttp头等演示案例：GET&PO$T&COOKIE&$ERVER实例黑盒-后台表单登陆框-PO$T注入实例白盒-E$PCM$-商品购买-COOKIE注入实例白盒-ZZCM$-IP记录功能-HTTP头XFF注入此处登录失败会从全局变量获取客户端ip–当密码失败次数过多禁止登录–通过抓包修改x-for-word字段绕过#部分语言接受代码块";   echo$

1.view_source 题目提示查看源代码：X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。 对于其提示FLAGisnothere.我们按照提示：查看网页的源代码F12得到了flag： cyberpeace{3b90da0b692456072b74f6dfe31e06e6} 2.robots提示到了robots协议：我们直接在原网址后访问robots.txt 提示了：disallow:f1ag_1s_h3re.php我们直接访问f1ag_1s_h3re.php得到flag: cyberpeace{9d782fab5eb92db5419dfce671ceeb8e}补

Bilibili上有一群安全UP主，他们不仅分享着有趣的视频内容，还致力于传授网络安全知识和技巧。crowsec https://space.bilibili.com/29903122/video次元壁の茶 https://space.bilibili.com/13290988/video刺掌信息 https://space.bilibili.com/25399338/video成为黑客吧丶 https://space.bilibili.com/481643789/video红蓝安全 https://space.bilibili.com/87726321/videoS

043-WEB攻防-PHP应用&SQL注入&符号拼接&请求方法&HTTP头&JSON&编码类#知识点：1、PHP-MYSQL-SQL注入-数据请求类型2、PHP-MYSQL-SQL注入-数据请求方法3、PHP-MYSQL-SQL注入-数据请求格式演示案例：➢PHP-MYSQL-数据请求类型➢PHP-MYSQL-数据请求方法➢PHP-MYSQL-数据请求格式#PHP-MYSQL-数据请求类型SQL语句由于在黑盒中是无法预知写法的，SQL注入能发成功是需要拼接原SQL语句大部分黑盒能做的就是分析后各种尝试去判断，所以有可能有注入但可能出现无法注入成功的情况。究其原因大部分都是原SQL语句的未知性导

前言一份网络攻防渗透测试的学习路线，不藏私了！1、学习编程语言(php+mysql+js+html)原因：php+mysql可以帮助你快速的理解B/S架构是怎样运行的，只有理解了他的运行原理才能够真正的找到问题/漏洞所在。所以对于国内那些上来就说渗透的我是很鄙视的js+html可以帮助你理解到XSS的payload构造，以及Dom型的XSS挖掘。注意我这是没有说不会JS就找不到XSS漏洞，只不过是不能构造payload以及DOM型的XSS挖掘的。👉【一帮助安全学习一】👈这里256G网络安全自学zl2.学习运维原因：关于内网渗透的时候会有大用！比如说那些配置文件在哪里，DNS怎么查看之类的，这里

第六十四天服务攻防-框架安全&CVE复现Apacheshiro&ApacheSolr知识点：中间件及框架列表：IIS,Apache,Nginx,Tomcat,Docker,K8s,Weblogic.JBoos,WebSphere,Jenkins,GlassFish,Jetty,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp,Spring,Flask,jQuery等1、开发框架-PHP-Laravel-Thinkphp2、开发框架-Javaweb-St2-Spring3.开发框架-Python-django-Flask4、开发框架-Javascript-Node

第56天服务攻防-数据库安全&H2&Elasticsearch&CouchDB&Influxdb复现知识点：1、服务攻防数据库类型安全2、influxdb,.未授权访问wt验证3、H2database-未授权访问-配置不当4、CouchDB-权限绕过配合RCE-漏洞5、ElasticSearch-文件写入&RCE-漏洞#章节内容：常见服务应用的安全测试：1、配置不当-未授权访问2、安全机制特定安全漏洞3、安全机制弱口令爆破攻击#前置知识：应用服务安全测试流程：见图1、判断服务开放情况端口扫描&组合应用等2、判折服务类型归属数据库&文件传输&通讯等3、判折服务利用方式特定漏洞&未授权&弱口令等演

文章仅供学习交流，一些漏洞没能复现出来（菜就多练），日后来兴趣再补坑（大概~）视频链接： 【小迪安全】红蓝对抗|网络攻防|V2022全栈培训_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV1pQ4y1s7kH目录一、知识点1、中间件-Weblogic-CVE2、中间件-JBoos-CVE3、中间件-Jenkins-CVE4、中间件-GlassFish-CVE二、章节内容1、常见中间件的安全测试2、中间件安全测试流程3、应用服务安全测试流程三、案例演示1、中间件-Weblogic-CVE&反序列化&远程执行（1） CVE-2017-3506 远程代码

在数字化浪潮的推动下，网络攻防模拟和城市安全演练成为维护社会稳定的不可或缺的环节。基于数字孪生技术我们能够在虚拟环境中进行高度真实的网络攻防模拟，为安全专业人员提供实战经验，从而提升应对网络威胁的能力。同时，在城市安全演练中通过精准模拟各类紧急情况，帮助城市管理者制定更有效的安全策略。图扑软件应用自研HTforWeb产品建立虚拟的对战平台，以厦门市范围作为三维场景，开启激烈的网络攻防模拟和城市安全演练。在此虚拟环境中，参与者可以全方位体验城市安全或网络安全带来的挑战与危机，实现模拟各种攻击和防御手段的实际效果。不仅拓展了对网络攻防技术的认识，还为参与者提供了一个实践和测试各种安全策略的机会。网