Recall Hyx

什么是选择器CSS有一套用于描述其语言的术语。123div { color: red;} 在CSS的术语中，上面这段代码被称为一条规则（rule）。这条规则以选择器 div 开始，它选择要在DOM中哪些元素上使用这条规则。 选择器介绍标签选择器（类型选择器）123div { color: red;} 上述代码就是标签选择器，选择所有div标签。因为... 阅读全文…

this介绍this 是 JavaScript 的关键字之一，用法灵活，也是很多 web 前端面试题会出的，不过总结起来就一句话：this指的是，调用函数的那个对象 this 取值的四种情况构造函数的调用所谓构造函数，就是通过这个函数生成一个新对象（object）。这时，this就指这个新对象。123456var name = "hyx";function Name(){ t... 阅读全文…

Symbol—使用方法，Symbol.for()、Symbol.keyFor()使用方法ES6 引入了一种新的原始数据类型Symbol，表示独一无二的值。它是 JavaScript 语言的第七种数据类型，前六种是：undefined、null、布尔值（Boolean）、字符串（String）、数值（Number）、对象（Object）。 Symbol 值通过Symbol函数生成。这就是说，对... 阅读全文…

函数的扩展—默认值 和 rest 参数默认值ES6 允许为函数的参数设置默认值，即直接写在参数定义的后面。1234567function log(x, y = 'World') { console.log(x, y);}log('Hello') // Hello Worldlog('Hello', 'China') // Hello Chinalog('Hello', ... 阅读全文…

ES6简介 ECMAScript 6.0（简称 ES6）是 JavaScript 语言的下一代标准，已经在 2015 年 6 月正式发布了。它的目标，是使得 JavaScript 语言可以用来编写复杂的大型应用程序，成为企业级开发语言。 ES6是下一代 JavaScript 的标准，也就是说，现在的浏览器用的 JavaScript 脚本大部分是以前的版本，就会有很多怪异的难以理解的行为，而... 阅读全文…

CSRF（Cross-site request forgery）与xss经常混淆，可以从信任的角度来区分XSS：利用用户对站点的信任CSRF：利用站点对已经身份认证的信任结合社会工程学在身份认证会话过程中实现攻击 修改帐号密码、个人信息（电话、收货地址） 发送伪造的业务请求（网银、购物、投票） 关注他人社交帐号、推送博文 在用户非自愿、不知情的情况下提交请求 CSRF 典型的场景：攻击通... 阅读全文…

XSS（cross-site scripting） 通过WEB站点漏洞，向客户端交付恶意脚本代码，实现对客户端的攻击目的注入客户端脚本代码，盗取cookie、重定向 使用场景12345直接嵌入html：<script> alert('xss);</script>元素标签时间：<body onload=alert('xss')>图片标签：<img s... 阅读全文…

SQL 注入 服务端程序将用户输入参数作为查询条件，直接拼接SQL语句，并将查询结果返回给客户端浏览器基于报错的检测方法 123‘ 单引号，在输入框输入一个单引号，如果数据库sql语句是直接拼接的，就会识别不了指令而报错%() 基于布尔的检测–用来猜测服务器的SQL 语句结构121' and '1'='1 / 1' and '11' and '1'='2 / 1' ... 阅读全文…

手动挖掘原则 所有变量 所有头cookie中的变量+逐个变量删除 默认安装漏洞 windows默认安装漏洞 phpMyAdmin/setup Ubuntu/Debian 默认安装 PHP5-cgi 可直接访问 /cgi-bin/php5 和 /cgi-bin/php123456POST http://192.168.133.132/phpMyAdmin/?-d+allow_url_in... 阅读全文…

SQLMAP特点 开源sql注入漏洞监测、利用的工具 检测动态页面中get/post 参数、cookie、http头 数据榨取 文件系统访问 操作系统命令执行 引擎强大、特性丰富 XSS漏洞检测 五种漏洞监测技术 基于布尔的盲注检测 基于时间的盲注检测'and (select * from (select(sleep(20)))a)--+ 基于错误的检测 基于union联合查询... 阅读全文…