Blog

# 初识 Redis Redis 是一种键值型的 NoSql 数据库，这里有两个关键字： 键值型 NoSql 其中键值型，是指 Redis 中存储的数据都是以 key、value 对的形式存储，而 value 的形式多种多样，可以是字符串、数值、甚至 json 而 NoSql 则是相对于传统关系型数据库而言，有很大差异的一种数据库。 # 认识 NoSQL NoSql 可以翻译做 Not Only Sql（不仅仅是 SQL），或者是 No Sql（非 Sql 的）数据库。是相对于传统关系型数据库而言，有很大差异的一种特殊的数据库，因此也称之为非关系型数据库。 #...

# Redis mac 安装及配置信息 # 安装命令 1brew install redis # 开启服务 1brew services start redis # 关闭服务 1brew services stop redis 如果出现提示类似于 执行 1brew update 然后，继续执行上述命令即可 # 指定端口 12345redis-cli -h localhost -p 6379-h ip地址-p 端口号-a 密码（如果需要） # 配置文件开启密码 12cd /opt/homebrew/etcopen redis.conf # 如何查找配置文件位置 1brew list...

# Java 网络编程入门：实现简单的客户端 - 服务器通信 # 1. 需求理解 我们的目标是创建一个简单的客户端 - 服务器应用程序。服务器将监听特定端口，等待客户端连接。一旦客户端连接成功，服务器将接收客户端发送的消息，并将消息原样返回给客户端。客户端则负责连接到服务器，发送消息，并接收服务器的响应。 # 2. 代码实现 # 2.1 服务器端代码 1234567891011121314151617181920212223242526272829303132333435import java.io.BufferedReader;import...

# 引言 目标读者：正在开发或维护涉及外部 URL 调用的 Web 应用的后端工程师，特别是那些提供 "URL 预览"" 图片抓取 ""第三方回调" 等功能的开发者。 核心价值：帮你彻底搞懂 SSRF 攻击的本质，掌握从代码层到网络层的完整防御方案。读完本文，你将能够：识别业务中的 SSRF 风险点，构建多层防御体系，建立自动化检测机制，避免线上出现 "服务器替黑客搞事情"...

# 引言 核心价值：帮你建立完整的 XSS 防护思维，从 "头痛医头" 转向 "系统性防护"。读完本文，你将掌握：语境化编码的精髓、CSP 的实战配置、富文本的安全处理、自动化测试方法，避免出现 "用户评论偷 Cookie" 的安全事故。 业务痛点：在我们社交平台的评论功能中，安全团队发现攻击者可以通过特殊构造的评论内容，窃取其他用户的登录 Cookie。更严重的是，攻击者还能伪造管理员身份进行恶意操作。传统的转义方案在富文本场景下完全失效，用户抱怨...

# PortSwigger XSS 靶场完全攻略（30 个实验全解析） # 前言 跨站脚本攻击（Cross-Site Scripting，XSS）是 Web 安全中最常见的漏洞类型之一。PortSwigger 提供的 XSS 靶场包含 30 个精心设计的实验，涵盖了从反射型、存储型到 DOM 型等各种 XSS 攻击技术。本文将详细解析每个实验的原理、攻击步骤和技术要点，帮助读者全面掌握 XSS 漏洞利用与防御技术。 # 实验环境准备 在开始之前，请确保： 拥有 PortSwigger Academy 账号 熟练使用 BurpSuite 进行抓包和改包 了解基本的...

# PortSwigger 操作系统命令注入靶场完全攻略（5 个实验全解析） # 前言 操作系统命令注入（OS Command Injection），也称为 Shell 注入，是 Web 安全中极其危险的漏洞之一。它允许攻击者在运行应用程序的服务器上执行操作系统命令，通常会导致应用程序及其数据的完全泄露。攻击者可以利用此类漏洞危害托管基础设施的其他部分，并利用信任关系将攻击转向组织内的其他系统。 PortSwigger 提供的操作系统命令注入靶场包含 5 个精心设计的实验，涵盖了从基础到高级的各种命令注入技术。本文将详细解析每个实验的原理、攻击步骤和技术要点。 #...

# PortSwigger 目录遍历靶场完全攻略（6 个实验全解析） # 前言 目录遍历（Directory Traversal），也称为路径遍历（Path Traversal），是 Web 安全中常见的高危漏洞之一。攻击者通过构造特殊的路径序列，能够访问 Web 应用程序根目录之外的文件和目录，从而读取敏感文件、获取系统信息，甚至在某些情况下实现远程代码执行。 PortSwigger 提供的目录遍历靶场包含 6 个精心设计的实验，涵盖了从基础到高级的各种目录遍历技术和绕过方法。本文将详细解析每个实验的原理、攻击步骤和技术要点，帮助读者全面掌握目录遍历漏洞的原理和利用方法。 #...

# PortSwigger 身份认证漏洞解题攻略 # 概述 本文基于 PortSwigger Academy 身份认证漏洞实验，详细解析 14 个实验的具体解题过程和技术原理。每个实验都包含实际的解题步骤、Burp Suite 操作细节以及背后的安全原理，帮助读者深入理解身份认证漏洞的成因和利用方法。 # 实验环境准备 # 必备工具 Burp Suite Professional：用于拦截、分析和修改 HTTP 请求 有效用户名密码字典：PortSwigger 提供的实验凭据 浏览器插件：Cookie Editor、User-Agent Switcher 等 #...

# PortSwigger SQL 注入靶场完全攻略（18 个实验全解析） # 前言 SQL 注入是 Web 安全中最常见也最危险的漏洞之一。PortSwigger 提供的 SQL 注入靶场包含 18 个精心设计的实验，涵盖了从基础到高级的各种 SQL 注入技术。本文将详细解析每个实验的原理、攻击步骤和技术要点，帮助读者全面掌握 SQL 注入攻击与防御技术。 # 实验环境准备 在开始之前，请确保： 拥有 PortSwigger Academy 账号 熟练使用 BurpSuite 进行抓包和改包 了解基本的 SQL 语法和数据库原理 理解 HTTP 协议和 Web 应用架构 # 实战演练 #...