curme_miller -
RCE基礎----DVWA,Pikachu,CTFHUB
RCE(Remote Code Execution,遠程代碼執行)是漏洞研究裏非常核心的一類,因為一旦成功,攻擊者可以在目標服務器上執行任意代碼。
1. 什麼是 RCE
RCE 指攻擊者通過漏洞,讓服務器執行攻擊者提供的代碼或命令。
簡單理解:
用户輸入 → 被程序直接執行 → 攻擊者控制服務器
例如一個 PHP 程序:
?php
system($_GET['cmd']);
?
訪問:
ht
網絡安全
curme_miller -
文件包含漏洞基礎----DVWA,CTFHub
一、什麼是文件包含漏洞
文件包含漏洞(File Inclusion) 是一種 Web 安全漏洞,通常出現在 PHP程序把用户輸入作為文件路徑直接包含執行 的情況下。
簡單理解:
程序原本想包含服務器上的文件,但攻擊者可以控制路徑,從而加載任意文件。
PHP 代碼示例:
?php
$page = $_GET['page'];
include($page);
?
如果訪問:
http://ex
網絡安全
curme_miller -
SSRF基礎----pikachu
什麼是 SSRF 漏洞
SSRF(Server-Side Request Forgery,服務器端請求偽造) 是一種 Web 安全漏洞。
攻擊者可以誘導服務器去訪問攻擊者指定的地址,而不是由服務器正常訪問預期的資源。
簡單理解:
攻擊者 → 控制服務器去請求某個URL → 服務器幫攻擊者訪問內部或敏感資源
因為這個請求是服務器發出的,所以它可能訪問到:
內網服務
本機服務(127
網絡安全
curme_miller -
XXE基礎--pikachu,xxelab
一、XML 基礎結構
XML(Extensible Markup Language)是一種 用於存儲和傳輸數據的標記語言。
示例
?xml version="1.0" encoding="UTF-8"?
user
nameAlice/name
age20/age
/user
組成:
部分
作用
?xml ...?
聲明
網絡安全
curme_miller -
CSRF基礎----pikachu
CSRF 和 XSS 的區別
下面用表格清晰對比兩者的核心差異:
對比維度
XSS (Cross-Site Scripting) 跨站腳本攻擊
CSRF (Cross-Site Request Forgery) 跨站請求偽造
中文全稱
跨站腳本攻擊
跨站請求偽造
本質
代碼注入:惡意腳本被注入到目標網站並在
網絡安全
curme_miller -
XSS基礎----DVWA,pikachu,xss-labs
XSS(Cross-Site Scripting,跨站腳本攻擊)是 Web 安全領域最常見、出現頻率最高、危害也非常大的漏洞之一,即使到了 2026 年,它仍然是 OWASP Top 10 榜單的常客。
攻擊者把惡意 JavaScript 代碼注入到網頁裏,當其他用户訪問這個頁面時,惡意代碼就在受害者的瀏覽器裏被執行了。
XSS 的三大主流分類(2025-2026 年仍然是這三類):
網絡安全
curme_miller -
計算機網絡基礎
1 常用的計算機網絡體系結構
1.1 OSI體系結構
1、為了使不同體系結構的計算機網絡都能夠互聯,國際標準化組織於1977年成立了專門機構研究該問題,不久他們就提出了一個試圖使各種計算機在世界範圍內都能夠互連成網的標準框架,也就是著名的“開放系統互連參考模型”,簡稱為OSI,OSI體系結構有時候我們也稱之為OSI模型。
2、OSI是一個七層協議的體系結構:從下往上依次是物理層、數據鏈路層、網絡層
網絡安全
