​ 关于很多人使用wsl和虚拟机连接容器出现的问题做一个简单指导，本文仅指导wsl以及虚拟机的连接方式 开启容器并粘贴wsrx链接一定一定别复制旁边的127.0.0.1:xxxx去访问 修改wsrx配置 粘贴到wsrx中并点击右边箭头 打开连接情况查看有一个0.0.0.0:xxxx而不用127.0.0.1:xxxx，记录:后的端口 查看你的虚拟机网络模式是否是nat模式不是请修改为nat模式，不

moectf2024 web入门指北xt moectf2024： 一.web是啥互联网时代，web应用以及涉及到生活中的方方面面，与后端交互的软件呀，浏览器看到的web网页呀。ctf中web一般涉及web网页安全，通过利用网页前后端的漏洞（代码漏洞也好，服务器漏洞也好）获取关键数据flag，一上来首先需要大家自己搭建一个基本的网站，了解网站的基本架构，连网站是怎么运行的都不知道何谈找漏洞呢。 二

本篇研究 SQL注入（SQL Injection），主要从mysql视角 SQL 注入（SQLi） 是一种将恶意 SQL 语句注入到应用程序的数据库查询中的攻击方式，攻击者可利用漏洞读取、修改、删除数据库中的数据，甚至执行数据库系统命令。 原理Web 应用接收用户输入后，直接拼接进 SQL 查询语句中执行，导致攻击者构造的 SQL 语句也一并被执行。 举例：12$username = $_GET

Mini L-CTF 2024 Writeup By xt 队伍：err0r web - Snooker King前端明文泄露，直接搜miniLCTF web - SmartPark第一次接触go语言，做的绕了，访问/没有有用信息，dirsearch扫目录，发现/swagger/index.html, 存在swagger未授权访问漏洞，然后注册（用户名密码有限制），登录拿Authori

本篇研究CSRF（Cross-Site Request Forgery，跨站请求伪造） 作用：攻击者诱导已登录用户在不知情的情况下对受信任网站发起请求，冒充用户执行敏感操作（如转账、修改密码等） 原理 利用浏览器自动携带 Cookie 的特性，在用户不知情的情况下向目标网站发起请求。 流程： 用户登录了银行网站，浏览器保存了 Cookie（如 sessionid=abc123） 用户未登出银行

本篇研究 XSS（Cross-Site Scripting，跨站脚本攻击） 作用：攻击者在网站注入恶意脚本，在用户浏览网页时执行该脚本，从而实现盗取 Cookie、钓鱼、传播木马等攻击行为。 一、XSS 原理XSS 是客户端攻击，核心是将恶意脚本注入到网页中，诱使其他用户在自己的浏览器中执行。 常见注入点包括： 评论区、昵称、文章内容等可存储内容； URL 参数、搜索框、表单等用户可控输入；