感谢机械工业出版社赠送的《web漏洞解析与攻防实战》,这本书是2023年刚刚出版的,作者是安全圈子里非常出名的do9gy和phith0n,今日有幸拜读大作,欣喜万分。受益匪浅的一点是,认识到POST请求上传文件的时候,HTTP请求体中一定能发现filename= ,这一点对于分析webshell脚本上传非常有价值。
ailx10
网络安全优秀回答者
互联网行业 安全攻防员
去咨询
- 概述了计算机网络发展历史
- 剖析了TCP协议的三次握手和四次挥手
- 介绍了wireshark工具的简单使用
- 深入讲解了HTTP协议的结构
- 案例概述了HTTP协议的3种交互过程
- 非常详细的介绍了HTTP协议的GET请求和POST请求(点赞)
- 讲述了HTTPS协议中的心脏滴血漏洞CVE-2014-0160
- 介绍了ASICII编码、UTF-8编码、GBK编码、URL编码、Base64编码和进制的概念
读完本章节,让我回忆起2018年复现的雪城大学的心脏滴血实验「ailx10:什么是Heartbleed攻击?」那一年,我刚刚毕业,朝气蓬勃。谈到Base64算法,让我陷入2020年Base64换表逆向的深渊「ailx10:攻防世界XCTF-MOBILE入门9题解题报告」,那一年,我和唐总在皖水公寓一起钻研逆向,迎战CTF。
这里稍微回顾一下Base64算法(网络安全面试大考点):
- 一个字符是8位(bit),Base64算法就是每6位前面补2个0。
- 6位表达2^6=64种信息,所以叫Base64。
- 通俗的说Base64就是把6位变成8位,最高2位补0。
- 一个字符是8位,3个字符是24位,Base64编码后,就得到4个字符。
- Base64编码的好处是让不可见的ASCII编码(2^7=127)以及其他任何编码的字符可视化。
ailx10:攻防世界XCTF-MOBILE入门9题解题报告 第六题:easy-jni
发布于 2023-04-14 23:59・IP 属地江苏
