varin_社区达人页

2025年09月

• 09.17 16:40:42
  发表了文章 2025-09-17 16:40:42

  Web渗透-常见的端口及对其的攻击思路

  本文介绍了常见网络服务端口及其安全风险，涵盖FTP、SSH、Telnet、SMTP、DNS、HTTP、SMB、数据库及远程桌面等20余个端口，涉及弱口令爆破、信息泄露、未授权访问、缓冲区溢出等典型漏洞，适用于网络安全学习与渗透测试参考。
• 09.17 16:37:26
  发表了文章 2025-09-17 16:37:26

  初识PHP-快速上手指南

  本文介绍了PHP编程的基础知识，涵盖语法格式、变量定义、数据类型、运算符、流程控制语句（如if、switch、循环）、常用内置函数、超全局变量及表单处理示例，帮助初学者快速掌握PHP核心语法与实际应用。

  
• 09.17 16:36:33
  发表了文章 2025-09-17 16:36:33

  PHP和Mysql前后端交互效果实现

  本文介绍了使用PHP连接MySQL数据库的基本函数及其实现案例。内容涵盖数据库连接、选择数据库、执行查询、获取结果等常用操作，并通过用户登录和修改密码的功能实例，展示了PHP与MySQL的交互过程及代码实现。

  
• 09.17 16:35:24
  发表了文章 2025-09-17 16:35:24

  Burp Suite使用及BruteForc_test靶场实战

  Burp Suite 是一款用于Web应用安全测试的集成平台，包含多个协同工具，支持请求拦截、漏洞扫描、暴力破解等功能，适用于渗透测试，提升安全测试效率。

  
• 09.17 16:33:02
  发表了文章 2025-09-17 16:33:02

  Web渗透信息收集进阶

  网站敏感目录与文件指易被恶意扫描利用的路径，如后台管理、.git、.svn等，可能导致源码泄露或权限入侵。常用工具如御剑、Dirbuster、Dirsearch可探测此类信息，需加强安全防护。

  
• 09.17 16:32:12
  发表了文章 2025-09-17 16:32:12

  SQL注入-上篇

  SQL注入是Web安全主要威胁之一，因输入验证缺失导致攻击者可伪造恶意SQL命令。本文介绍注入原理、常用函数、检测方法及union注入、盲注（布尔、时间、报错）等技术，并提供sqli-labs与pikachu靶场搭建教程，助力学习防御手段。

  
• 09.17 16:30:31
  发表了文章 2025-09-17 16:30:31

  SQL注入-下篇

  本文介绍了HTTP注入中的Referer和Cookies注入原理与实操步骤，演示了通过SQL注入获取数据库信息及webShell的方法，并涵盖pikachu靶场搭建、DNSLog盲注等内容，帮助理解常见Web安全漏洞及其利用方式。

  
• 09.17 16:28:47
  发表了文章 2025-09-17 16:28:47

  渗透技术--sqlmap使用

  Sqlmap是一款自动化SQL注入工具，支持MySQL、Oracle、PostgreSQL等多种数据库。它可扫描并利用URL中的SQL注入漏洞，提供丰富的参数选项，如查询数据库、表、字段，支持POST注入、代理设置及写入文件等功能，适用于安全测试与漏洞评估。

  
• 09.17 16:27:43
  发表了文章 2025-09-17 16:27:43

  Web渗透-文件上传漏洞-上篇

  文件上传漏洞常见于Web应用，因类型限制不严可致恶意文件执行。本文介绍前端检测、MIME类型、黑名单、.htaccess、空格、双写等多种绕过方式，并结合upload-labs靶场演示利用方法，提升安全防护认知。

  
• 09.17 16:26:39
  发表了文章 2025-09-17 16:26:39

  WEB渗透-文件上传漏洞-下篇

  本文详解文件上传安全漏洞，涵盖白名单绕过（如00截断、条件竞争）、图片木马制作与利用、以及IIS、Apache、Nginx等常见解析漏洞原理与防御。结合实战案例，深入剖析攻击手法与修复方案。
• 09.17 12:57:07
  发表了文章 2025-09-17 12:57:07

  web渗透-文件包含漏洞

  文件包含漏洞源于程序动态包含文件时未严格校验用户输入，导致可加载恶意文件。分为本地和远程包含，常见于PHP，利用伪协议、日志或session文件可实现代码执行，需通过合理过滤和配置防范。

  
• 09.17 12:55:49
  发表了文章 2025-09-17 12:55:49

  Web渗透-XSS漏洞深入及xss-labs靶场实战

  XSS（跨站脚本攻击）是常见的Web安全漏洞，通过在网页中注入恶意脚本，窃取用户信息或执行非法操作。本文介绍其原理、分类（反射型、存储型、DOM型）、测试方法及xss-labs靶场实战案例，帮助理解与防御XSS攻击。

  
• 09.17 12:54:22
  发表了文章 2025-09-17 12:54:22

  web渗透-CSRF漏洞

  CSRF（跨站请求伪造）是一种常见的Web安全漏洞，攻击者通过伪造用户请求，诱使其在已登录状态下执行非意愿操作。本文介绍CSRF原理、分类（站外与站内）、DVWA靶场搭建及防御措施，如同源策略与Token验证，提升安全防护意识。

  
• 09.17 12:53:35
  发表了文章 2025-09-17 12:53:35

  web渗透-SSRF漏洞及discuz论坛网站测试

  SSRF（服务器端请求伪造）是一种安全漏洞，攻击者可诱使服务端发起任意请求，进而探测或攻击内网系统。常用于端口扫描、访问内部服务、读取本地文件等。常见防御包括限制协议、域名和IP，但可通过302跳转、短地址等方式绕过。

  
• 09.17 12:52:39
  发表了文章 2025-09-17 12:52:39

  Web渗透-命令执行漏洞-及常见靶场检测实战

  命令执行漏洞（RCE）指应用程序调用系统命令时，用户可控制输入参数，导致恶意命令被拼接执行，从而危害系统安全。常见于PHP的system、exec等函数。攻击者可通过命令连接符在目标系统上执行任意命令，造成数据泄露或服务瘫痪。漏洞成因包括代码层过滤不严、第三方组件缺陷等。可通过参数过滤、最小权限运行等方式防御。本文还介绍了绕过方式、靶场测试及复现过程。
• 09.17 12:51:23
  发表了文章 2025-09-17 12:51:23

  Web渗透-逻辑漏洞

  逻辑漏洞主要因程序逻辑不严谨或复杂导致处理错误，常见于越权访问、密码修改、支付等环节。漏洞统计显示，越权操作和逻辑漏洞占比最高，尤其账号安全风险突出，如任意重置密码、验证码暴力破解等。漏洞分类中，越权访问分为水平越权（同权限用户间数据访问）和垂直越权（跨权限数据访问）。

  
• 09.17 12:50:32
  发表了文章 2025-09-17 12:50:32

  web渗透-反序列化漏洞

  序列化是将对象转为可传输字符串的技术，便于存储与传输。PHP通过serialize/unserialize实现，Java通过Serializable接口和ObjectOutputStream完成。文中还介绍了反序列化漏洞在安全测试中的利用方法及CTF实战案例。

  
• 09.17 12:49:27
  发表了文章 2025-09-17 12:49:27

  Web渗透思路及src漏洞挖掘思路

  本内容系统讲解Web渗透测试思路，涵盖系统、网站、App及服务层面的渗透技术，包括漏洞探测工具使用、CMS系统分析、开发框架识别等，并介绍了SRC漏洞挖掘及CNVD证书提交流程，助力网络安全学习与实践。

  
• 09.16 21:53:50
  发表了文章 2025-09-16 21:53:50

  黑马头条_SpringCloud项目阶段一：环境搭建（Mac版本）

  本文为 Mac 用户介绍微服务项目环境搭建，含阿里云服务器用 Docker 装 Nacos 1.2.0，本地通过 brew 装 OpenJDK 8、Maven 3.6.1、Redis，Docker 部署 MySQL 5.7 并配字符集，及 Nginx 安装与反向代理设置，附命令与配置步骤。

  

2025年04月

• 04.09 14:38:27
  发表了文章 2025-04-09 14:38:27

  深入解析HTTP请求方法：Spring Boot实战与最佳实践

  这篇博客结合了HTTP规范、Spring Boot实现和实际工程经验，通过代码示例、对比表格和架构图等方式，系统性地讲解了不同HTTP方法的应用场景和最佳实践。

2024年07月

• 07.30 14:22:35
  发表了文章 2024-07-30 14:22:35

  鸿蒙 HarmonyOS NEXT星河版APP应用开发-阶段一

  HarmonyOS NEXT星河版的应用开发标志着华为分布式操作系统的全新篇章，它聚焦于打造原生精致、易用、流畅、安全、智能和互联的极致体验。开发者可以利用其先进的API和工具集，如DevEco Studio，构建高性能、跨设备无缝协同的应用程序，从而充分利用HarmonyOS的分布式能力，为用户带来一致且丰富的多场景数字生活体验。随着“学习强国”、岚图汽车、中国电信等知名企业和应用的加入，鸿蒙生态正迅速扩展，引领着原生应用开发的新趋势。