菜鸟小羊
码龄5年
求更新 关注
提问 私信
  • 博客:124,617
    动态:15,295
    139,912
    总访问量
  • 64
    原创
  • 856
    粉丝
  • 2
    关注
IP属地以运营商信息为准,境内显示到省(区、市),境外显示到国家(地区)
IP 属地:北京市
加入CSDN时间: 2021-01-20

个人简介:安全学习交流-企鹅号:3187282388

博客简介:

菜鸟小羊的博客

查看详细资料
个人成就
  • 获得1,188次点赞
  • 内容获得73次评论
  • 获得2,276次收藏
  • 代码片获得2,062次分享
  • 博客总排名15,285名
  • 原力等级
    原力等级
    4
    原力分
    824
    本月获得
    22
创作历程
  • 6篇
    2025年
  • 54篇
    2024年
  • 4篇
    2022年
成就勋章
TA的专栏
  • 每天学会一个渗透测试工具
    10篇
  • 每天认识一个漏洞
    6篇
  • Linux探索之旅
    2篇
  • PHP代码审计
    3篇
  • 网络安全的神秘世界
    39篇
  • 专接本
    4篇

TA关注的专栏 0

TA关注的收藏夹 0

TA关注的社区 3

TA参与的活动 0

创作活动更多

AI 镜像开发实战征文活动

随着人工智能技术的飞速发展,AI 镜像开发逐渐成为技术领域的热点之一。Stable Diffusion 3.5 FP8 作为强大的文生图模型,为开发者提供了更高效的图像生成解决方案。为了推动 AI 镜像开发技术的交流与创新,我们特此发起本次征文活动,诚邀广大开发者分享在 Stable Diffusion 3.5 FP8 文生图方向的实战经验和创新应用 本次征文活动鼓励开发者围绕 Stable Diffusion 3.5 FP8 文生图方向,分享以下方面的内容: 1. 技术实践与优化 - Stable Diffusion 3.5 FP8 模型架构解析与优化技巧 - 文生图生成效果的提升方法与技巧 - 模型部署与加速策略,例如使用 Hugging Face、Diffusers 等工具 - 针对特定场景(例如二次元、写实风)的模型微调与定制化开发 2. 应用场景探索 - Stable Diffusion 3.5 FP8 在不同领域的应用案例分享,例如游戏设计、广告创意、艺术创作等 - 利用 Stable Diffusion 3.5 FP8 实现图像编辑、图像修复、图像增强等功能的探索 - 结合其他 AI 技术(例如 NLP、语音识别)构建更强大的应用 3. 创新应用与思考 - 基于 Stable Diffusion 3.5 FP8 的创新应用场景设计 - AI 镜像开发的未来发展方向的思考与展望 - 对 AI 镜像开发伦理、安全等问题的探讨

37人参与 去参加
  • 最近
  • 文章
  • 专栏
  • 代码仓
  • 资源
  • 收藏
  • 关注/订阅/互动
更多

  • 最近

  • 文章

  • 专栏

  • 代码仓

  • 资源

  • 收藏

  • 关注/订阅/互动

  • 社区

  • 帖子

  • 问答

  • 课程

  • 视频

搜索 取消

【每天学会一个渗透测试工具】Web_Shot网页截图

今天介绍这款工具,可以帮助我们打点后快速找到功能多的站点,便于尽快筛选出 “意向” 站点进行测试。
原创
博文更新于 2025.12.16 ·
373 阅读 ·
4 点赞 ·
0 评论 ·
9 收藏

【每天认识一个漏洞】React 和 Next.js RCE漏洞

近日,React服务器组件生态中出现了一个高危远程代码执行(RCE)漏洞(CVE-2025-55182),波及包括Next.js在内的多个主流框架(相关编号CVE-2025-66478)
原创
博文更新于 2025.12.11 ·
520 阅读 ·
3 点赞 ·
0 评论 ·
3 收藏

【每天认识一个漏洞】shiro反序列化漏洞

Shiro 是一个流行的 Java 安全框架,用于身份验证和授权。Shiro key 是 Shiro 加密算法中使用的密钥,通常用于加密用户会话或敏感数据。/actuator/heapdump 是 Spring Boot Actuator提供的一个端点,用于导出 Java 应用程序的内存快照(heapdump)。
原创
博文更新于 2025.03.03 ·
718 阅读 ·
4 点赞 ·
0 评论 ·
5 收藏

【每天认识一个漏洞】url重定向

# / \ /// 双写参数 进制等来绕过。可以使用Oralyzer工具。主要是业务逻辑中需要进行。
原创
博文更新于 2025.02.27 ·
746 阅读 ·
6 点赞 ·
3 评论 ·
6 收藏

【每天学会一个渗透测试工具】Oralyzer安装及使用指南

【代码】【每天学会一个渗透测试工具】Oralyzer安装及使用指南。
原创
博文更新于 2025.02.27 ·
469 阅读 ·
7 点赞 ·
0 评论 ·
3 收藏

【网络安全的神秘世界】目录遍历漏洞

目录遍历(Directory traversal),也称文件路径遍历、目录穿越、路径穿越等。是由于网站本身存在配置缺陷,导致网站目录可以被任意浏览,从而使得攻击者可以访问到原本不具备权限访问的内容,造成信息泄露,为攻击者实施进一步的网络入侵提供帮。
原创
博文更新于 2025.02.26 ·
2165 阅读 ·
22 点赞 ·
2 评论 ·
22 收藏

【每天认识一个漏洞】JQuery-XSS漏洞

在src处替换为 jquery 的目标路径地址即可,打开html。点击Append via .html(),可弹窗说明漏洞存在。JQuery版本大于等于1.2 ,小于 3.5.0。
原创
博文更新于 2025.02.24 ·
1176 阅读 ·
13 点赞 ·
0 评论 ·
5 收藏

【网络安全的神秘世界】文件上传、JBOSS、Struct漏洞复现

蚁剑webshell图形化,下面介绍结合蚁剑工具对tomcat的漏洞利用蚁剑百度网盘使用过程将蚁剑漏洞的shell脚本上传至服务端访问上传的shell.jsp,若网站正常响应,则上传成功,否则失败使用中国蚁剑连接粘贴刚才上传shell.jsp后的url,连接蚁剑的密码是cmd双击进入服务器,tomcat的配置就能随便翻阅了,至此已经成功shell.jsptomcat、shell、蚁剑的关系。
原创
博文更新于 2025.01.24 ·
1683 阅读 ·
10 点赞 ·
0 评论 ·
19 收藏

【网络安全的神秘世界】web应用程序安全与风险

web攻击的本质,就是通过http协议篡改应用程序(永远不要相信用户的输入)可利用点:请求方法、请求头、请求体利用过程:认证、会话、授权弱口令强口令账号枚举认证不满足强口令条件密码长度至少8位包含大小写字母、数字、特殊字符中的至少3类密码和用户名无相关性尝试大量可能的账号名称,以找出系统中存在的有效账号为了密码爆破做准备,节省攻击时间判断下面属于什么口令:admin@123#1 --弱口令,与用户名相关。
原创
博文更新于 2025.01.22 ·
1747 阅读 ·
23 点赞 ·
0 评论 ·
23 收藏

【网络安全的神秘世界】揭秘 VS Code 直连虚拟机的方法

连接成功,回到原始vscode界面,可以点击打开文件夹。右击VScode中左下角的绿色区域,勾选远程主机。通过VsCode连接虚拟机,可以进行远程操作。打开远程资源管理器,点击+号,配置连接服务器。再次输入密码后,进入Linux文件夹。hostname:主机名,随便起。host:打开kali,用。User:虚拟机的用户名。
原创
博文更新于 2025.01.15 ·
994 阅读 ·
19 点赞 ·
0 评论 ·
6 收藏

【网络安全的神秘世界】全面解读 Docker 及其安装教程

Docker官方文档Docker提供了一种轻量级、便捷、高效的方式来打包、部署和管理应用程序及其运行环境容器:应用及其所需环境的打包镜像:是容器的模板仓库:用于存储和共享镜像。
原创
博文更新于 2025.01.14 ·
642 阅读 ·
4 点赞 ·
0 评论 ·
4 收藏

【网络安全的神秘世界】框架漏洞

蚁剑webshell图形化,下面介绍结合蚁剑工具对tomcat的漏洞利用蚁剑百度网盘使用过程将蚁剑漏洞的shell脚本上传至服务端访问上传的shell.jsp,若网站正常响应,则上传成功,否则失败使用中国蚁剑连接粘贴刚才上传shell.jsp后的url,连接蚁剑的密码是cmd双击进入服务器,tomcat的配置就能随便翻阅了,至此已经成功shell.jsptomcat、shell、蚁剑的关系。
原创
博文更新于 2024.12.13 ·
1120 阅读 ·
21 点赞 ·
0 评论 ·
25 收藏

【网络安全的神秘世界】Python 3.7安装教程

1、访问官网地址:https://www.python.org/2、点击download选择相应的操作系统进行下载。3、下载完成后点击安装包并执行,运行出该界面。5、安装完成,打开命令提示符输入cmd。我安装的是3.7可执行文件。开始安装过程,请耐心等待。
原创
博文更新于 2024.10.21 ·
494 阅读 ·
6 点赞 ·
0 评论 ·
1 收藏

【网络安全的神秘世界】搭建dvwa靶场

打开 PHPStudy,创建数据库(必须与刚刚config文件中的配置保持一致)此时用户名为 admin,密码为 password,点击 login 登录。输入当时设置好的用户名和密码,我设置的是dvwa和123456。还是打开 config.inc.php文件找到以下两个参数。修改用户名和密码后以config.inc.php命名文件。将下载好的DVWA解压到phpstudy网站根目录下。打开 PHPStudy 选择网站,点击创建网站。打开config.inc.php.dist。从管理中打开dvwa网页。
原创
博文更新于 2024.10.04 ·
1039 阅读 ·
23 点赞 ·
0 评论 ·
7 收藏

【网络安全的神秘世界】VMware 安装全过程:含 Kali 安装与解决 Win11 不支持虚拟化的Intel VT-x/EPT问题教程

可以先查看任务管理器,确保CPU虚拟化功能在BIOS中开启了VT-v功能,还可以直接关机重启进入BIOS模式查看。打开控制面板选择程序和功能之后点击启用或关闭windows功能,取消Hyper-V。建议把两个“√”都取消,启动自检要是开了的话,每次一打开VM就会内存爆满。在我们下载好的文件夹中找到安装文件,双击,等待安装程序运行。点击“下一步”—>选中“接受许可后”—>点击“下一步”磁盘设置,选择默认使用整个磁盘后连续点击“继续”四次。下面需要等待一定的时间,可以去喝杯咖啡,提提神。
原创
博文更新于 2024.10.04 ·
1381 阅读 ·
21 点赞 ·
0 评论 ·
19 收藏

【PHP代码审计】PHP常见配置解析

php.ini配置文件。
原创
博文更新于 2024.09.17 ·
627 阅读 ·
11 点赞 ·
0 评论 ·
3 收藏

【网络安全的神秘世界】ssrf服务端请求伪造

SSRF(Server-Side Request Forgery:服务端请求伪造)是由攻击者构造形成,由服务端发起请求的一种安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正是因为它是由服务端发起的,所以它能够访问到与它相连而与外网隔离的内部系统csrf:客户端请求伪造,伪造了一个请求发送给客户端让用户去访问ssrf:服务端请求伪造,伪造了一个请求发送给服务端去访问XXE:外部实体注入攻击。由于程序在解析输入XML数据时,没有进行充分过滤,解析了攻击者伪造的外部实体而产生的漏洞。
原创
博文更新于 2024.09.17 ·
2898 阅读 ·
51 点赞 ·
0 评论 ·
34 收藏

【网络安全的神秘世界】csrf客户端请求伪造

跨站请求伪造,是一种挟持用户在当前已登陆的web应用程序上执行非本意操作的攻击方法,允许攻击者诱导用户执行他们他不打算执行的操作该漏洞允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰【同源策略】:同网站下的域名只能访问本网站的资源,不能访问其他网站Web A为存在CSRF漏洞的业务网站,Web B为攻击者构建的恶意网站,1、用户打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A。
原创
博文更新于 2024.09.17 ·
1074 阅读 ·
23 点赞 ·
0 评论 ·
9 收藏

【PHP代码审计】PHP基础知识

php(全称:Hypertext Preprocessor,即超文本预处理器)是一种通用开源脚本语言php脚本在服务器上执行php可免费下载使用php提供了一些预定义常量,这些常量通常用于获取PHP的配置信息、版本信息等。:当前PHP解析器的版本PHP_OS:服务器的操作系统:最大的整数值E_ERRORE_WARNINGE_PARSE等:错误报告级别。
原创
博文更新于 2024.09.17 ·
1607 阅读 ·
40 点赞 ·
0 评论 ·
48 收藏

【PHP代码审计】 PHP环境搭建

用vscode打开index.php,让语句侧边出现红点,点击运行和调试 -> Listen for Xdebug(Xdebug :9003,9000)后续将使用phpstudy进行php代码审计,为了防止出现超时问题,可以提前设置好相关参数,在下面文件末尾加上相关参数。使用自动按照xdebug插件,会有一点点bug,需要手动修改php.ini,加入下面配置项并重启webserver。访问上述连接,并将网站内容ctrl+A、ctrl+c粘贴到https://xdebug.org/wizard中。
原创
博文更新于 2024.09.16 ·
1071 阅读 ·
14 点赞 ·
0 评论 ·
9 收藏
加载更多