Python学习日记(五)

本篇文章记录的是Python用户交互知识。一、用户交互1、Python3中的用户交互这里站在程序员与计算机之间的交互,本质上就是你向计算机输入内容,计算机输出内容,反馈给你。(1)接收用户的输入通过input方法:name = input('请输入你的大名:')(2)容易掉的坑注意:在Python3中,无论用户输入什么input都会把它放到一对引号中,就是把原数据类型,转换成了字符串类型,所以如果输入的int类型,想要进行四则运算,那么就要直接手动进行一下类型转换。x = input('请输入数字') x = int(x) print(x + 10)2、Python2中的用户交互(1)raw_inputPython2中==raw_input()==等同于Python3中的input,都是会把用户输入的内容转化成字符串类型。(2)input()Python2中的input(),不会自动更改用户输入内容的数据类型,你输入什么类型,就返回什么类型的内容,虽热我们作为开发用Python2中input()很方便,但是对用户不是友好的,因为如果要使用就必须先了解Python的基础数据类型,所以在P

编程语言学习·网安·生命在于学习 · 2021-11-05 · 86 人浏览
Python学习日记(五)

Python学习日记(四)

本篇文章记录的是Python基础数据类型知识。一、数字类型Python中没有数字类型这一说,知识为了更好的学习,人为的把整型和浮点型统称为数字类型。1、int整型(1)作用用来记录用整数记录的状态,比如年份,年龄等。(2)定义age = 20year=19992、float浮点型(1)作用用来记录用小数记录的状态,比如某些商品的价格,存款等(2)定义price=98.88money=3999.543、数字类型的使用(1)数学运算a=99b=1c=a+bprint(c)(2)比较大小x=100y=200print(y>x)二、字符串类型1、字符(1)什么是字符串字符串就是由许多字符组成的一串内容(2)作用字符串的作用是用来记录描述性质的状态(3)定义字符串用英文引号(单引号、双引号、三引号)包含的一串字符(4)字符串的嵌套注意: 字符串的嵌套只能发生在不同中引号之间info = "你好,我叫'山鸡', 你也可以叫我小鸡 , 初次见面,多多关照" # 双引号嵌套单引号字符串也可以用+号连接,但是不称之为是字符串相加 , 称它是字符串的拼接,只限于字符串和字符串 (

编程语言学习·网安·生命在于学习 · 2021-11-04 · 91 人浏览
Python学习日记(四)

Python学习日记(三)

一、注释注释是对代码的解释说明,不是所有代码都需要注释,只是那些难于理解又关键的代码,必须加注释,方便自己或其他人后期阅读。注释的内容不会被python解释器 ,解释执行。1、注释的两种方式(1)单行注释井号+注释内容(2)多行注释三个单引号/三个双引号+注释内容==也可以选中要注释的段落,按ctrl+/。==二、变量1、什么是变量变量就是可以变化的量,这个量指的是事物的。状态,比如说人的年龄,今天的天气。在计算机中变量指的是 内存中的一段空间2、为什么要有变量为了让计算机能够像人一样去记忆事物的某种状态,并且状态是可以发生变化的。详细地说:程序执行的本质就是一系列状态的变化,变化是程序执行的直接体现,所以我们需要有一种机制能够反映或者说是保存下来程序执行时状态,以及状态的变化。3、怎么使用变量变量一定是,先定义后使用。变量的三大组成部分,如下图4、变量名的命名规范变量名只能由 字母、数字、下划线 组成。变量名不能以数字开头。变量名不能是Python内置关键字,如:‘and’, ‘as’, ‘assert’, ‘break’, ‘class’, ‘continue’, ‘def’, ‘

编程语言学习·网安·生命在于学习 · 2021-11-03 · 68 人浏览
Python学习日记(三)

Python学习日记(二)

一、Python的安装1、Windows安装Python(1)安装Python3官网下载地址:https://www.python.org/downloads/windows/当前python3最先版本已经是python3.10了然后下载完成就是双击安装下一步 , 下一步 , 记住你的安装目录 , 因为后面添加环境变量会用到 , 不推荐默认安装在c盘。==注意:如果下载很慢,可以去镜像站下载:http://npm.taobao.org/mirrors/python/3.9.7/==(2)安装Python2关于python2的安装实际上和python3一样 , 只不过下载的安装包不一样官网 : https://www.python.org/downloads/release/python-2718/镜像站:http://npm.taobao.org/mirrors/python/2.7.9/(3)添加环境变量就是把python的安装目录和Script目录添加到path这个系统变量 , 这里为了区分python2和python3 , 可以这样操作,先把各个版本的python.exe复制然后

编程语言学习·网安·生命在于学习 · 2021-11-02 · 92 人浏览
Python学习日记(二)

Python学习日记(一)

一、编程语言的分类1、机器语言机器语言是机器能直接识别的程序语言或指令代码,无需经过翻译,每一操作码在计算机内部都有相应的电路来完成它,或指不经翻译即可为机器直接理解和接受的程序语言或指令代码。机器语言使用绝对地址和绝对操作码。不同的计算机都有各自的机器语言,即指令系统。从使用的角度看,机器语言是最低级的语言。机器语言用二进制代码0和1描述的指令称为机器指令,由于计算机内部是基于二进制指令工作的,所以机器语言是直接控制计算机硬件。 用机器语言编写程序,编程人员要首先熟记所用计算机的全部指令代码以及代码的含义,然后在编写程序时,程序员得自己处理每条指令和每一数据的存储分配和输入输出,还得记住编程过程中每步所使用的工作单元处在何种状态。这是一件十分繁琐的工作。编写程序花费的时间往往是实际运行时间的几十倍或几百倍。而且,编出的程序全是些0和1的指令代码,直观性差,不便阅读和书写,还容易出错,且依赖于具体的计算机硬件型号,局限性很大。除了计算机生产厂家的专业人员外,绝大多数的程序员已经不再去学习机器语言了。 机器语言是被微处理器理解和使用的,存在有多至100000种机器语言的指令,下述是一

编程语言学习·网安·生命在于学习 · 2021-11-01 · 114 人浏览
Python学习日记(一)

BlueCMS代码审计

BlueCMS代码审计一、概括Seay源代码审计系统扫描到306个漏洞,大概都看了看,很多都无法存在,特别是像un_client等文件夹直接拒绝访问,而且其他位置的文件所报告的漏洞都无法复现,不是有过滤就是变量不可控,工具只是简单的对人为制定的规则进行匹配,而且还无法扫描逻辑漏洞,所以扫描器和人工结合最好。二、SQL注入漏洞(124个)1、第一个SQL注入(1)扫描器显示代码如下:这里trim函数是去空白的功能,参数用户可控,在代码中输入echo sql去前台验证一下:可以看出来单引号转义,使用sqlmap可以跑出来:测试payload,可以发现确实执行了sleep(5)源代码在./admin/ad.php先在页面测试一下。2、第二个SQL注入(不存在)系统给的报告:直接访问发现被拒绝:查看源代码:发现是检查IN_UC常量是否存在,不存在则直接访问拒绝,删除试试。页面空白而且sqlmap跑不出来,失败。三、任意文件读取/删除/修改/写入(98个)1、第一个任意文件读取Seay给出的报告构造payload:http://blue.com/admin/tpl_manage.php?act=

代码审计实战·网安·生命在于折腾 · 2021-10-26 · 151 人浏览
BlueCMS代码审计

XXE漏洞

一、XXE描述1、前言XML外部实体注入,简称XXE漏洞,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,目前,XML文件作为配置文件(Spring、Strust2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVG header)应用比较广泛。XML的语法规范由DTD来进行控制。2、简介XML是可扩展的标记语言,设计用来进行数据的传输和存储。二、XML和DTD介绍1、示例2、PCDATApcdata的意思是被解析的字符数据。可以把字符数据想象为XML元素的开始标签与结束标签之间的文本,PCDATA是会被解析器解析的文本,这些文本将被解析器检查实体以及标记,文本中的标签会被当做标记来处理,而实体会被展开,不过,被解析的字符数据不应当包含任何&、<、>字符,需要用&;<;以及>;实体来分别替换他们。3、CDATACDATA的意思是字符数据。CDATA是不会被解析器解析的文本,在这些文本中的标签不会被当做标

漏洞原理学习·网安·生命在于学习 · 2021-10-19 · 69 人浏览
XXE漏洞

Jsonp漏洞

声明:本篇文章仅用于自己的学习交流,笔记记录以及感悟记载,不得用于其他用途。(图片来源于百度百科。)一、同源策略1、什么是同源策略SOP,全称为同源策略 (Same Origin Policy),该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。那么恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。浏览器要严格隔离两个不同源的网站,目的是保证数据的完整性和机密性。(==PS:进了别人家客厅,没有允许就不要进卧室了。==)2、什么算是同源那么何为同源呢,即两个站点需要满足同协议,同域名,同端口这三个条件。"同源" 的定义:(==PS:三个缺一不可,一个不一样就不同源。==)3、不受同源策略限制的下面这些标签跨域加载资源(资源类型是有限止的)是不受同源策略限制的(==PS:特权。==)<script src="..."> //加载本地js执行 <img src="..."> //图片 <link href="...">

漏洞原理学习·网安·生命在于学习 · 2021-10-13 · 79 人浏览
Jsonp漏洞

未授权访问漏洞

声明:本篇文章只是用于记载学习笔记,学习交流,不可用作其他违规用途。一、简介未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。目前主要存在未授权访问漏洞有:NFS服务,Samba服务,LDAP,Rsync,FTP,GitLab,Jenkins,MongoDB,Redis,ZooKeeper,ElasticSearch,Memcache,CouchDB,Docker,Solr,Hadoop,Duboo等。二、常见应用的未授权访问1、Redis未授权访问漏洞(1)简述Redis默认情况下,会绑定在0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源ip访问等,这样会将redis服务暴露到公网上,如果在没有设置密码认证的情况下,会导致任意用户在可以访问模板服务器的情况下未授权访问Redis以及读取Redis的数据,攻击者在未授权访问Redis的情况下,利用Redis自身提供的config命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服

漏洞原理学习·网安·生命在于学习 · 2021-10-12 · 71 人浏览
未授权访问漏洞

框架-中间件学习(一)

==声明:本篇文章仅用于学习笔记记录,不得用于其他用途。==一、什么是框架Web框架(Web framework)或者叫做Web应用框架(Web application framework),是用于进行Web开发的一套软件架构。大多数的Web框架提供了一套开发和部署网站的方式。为Web的行为提供了一套支持的方法。使用Web框架,很多的业务逻辑外的功能不需要自己再去完善,而是使用框架已有的功能就可以。如图片验证码 , 数据库交互语句等。(==PS:简单来说,就是可以直接使用一些完整的方法的东西。==)二、Thinkphp1、Thinkphp框架介绍ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。(

漏洞原理学习·网安·生命在于学习 · 2021-10-06 · 257 人浏览
框架-中间件学习(一)
2019 - 2025 赛博保安日志. All Rights Reserved.
Theme Jasmine by Kent Liao 京ICP备2023023335号-2京公网安备11010802044340号