POC编写基础————2、POC编写技能需求

最新推荐文章于 2024-04-23 23:14:02 发布
最新推荐文章于 2024-04-23 23:14:02 发布
阅读量2.9k 收藏 28
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/87977200
版权

前言

本小节主要为大家简单的介绍一些在编写POC时需要的基本技能。

网络通信原理

因为我们的POC是针对网络当中的一些应用程序当中是否存在漏洞进行验证的,那么我们就有必要深入了解基本的网络通信原理,例如:数据的请求与应答过程。同时我们也有必要了解一些基本的网络术语,例如:IP地址、域名(二级域名、三级域名等)、端口、TCP原理、HTTP协议、socket编程通信等等的内容,这一点不仅在您复现漏洞的时候有用,而且在你编写POC的时候也是非常有用的。

漏洞原理

因为我们编写的POC是主要用于验证漏洞是否存在的,而我们编写POC的思路也是来源于漏洞原理,那么我们就有必要深入理解漏洞的原理,这对我们之后编写POC来说是“如虎添翼”。

  • SQL注入
  • XSS
  • CSRF
  • SSRF
  • 文件上传
  • 文件下载
  • XXE
  • 文件包含
  • 命令执行
  • DOS
  • 越权访问
  • 弱口令

如果读者对于这些漏洞有不知或者有疑惑,可以自行查看本博主的文章!这里不再复述。

编码基础

虽然说我们的POC是一段代码,但是也涉及到基本的一些编程,那么我们需要掌握怎么样的编码能力呢?为了应对多方面的情况,以及结合具体的情况编写POC,我们需要具备以下基本的几项能力:

  • HTML
    这里不单是看 HTML 语言,而且要网页从服务器端传回来的响应状态码、网页的元素之类的。
  • Javascript
    想学 XSS, CSRF不会这个可不行。
  • Python
    我们后面写 PoC 会用到,所以这个要必会。这里只需要你会一点点 Python 的语法和一些常用的功能库就够了。
  • SQL
    你要是连 SQL 都不知道是什么,还在这给别人讲 SQL 注入,我就呵呵哒了。
  • 正则表达式
    自动化过程中经常需要自动匹配,不需要精通,但是要多多少少会一些。怎么测试你会了呢?我给你任意一个 wooyun 的漏洞页面,然后你能用脚本把里面的漏洞标题,作者,漏洞提交时间等等信息能够轻松用正则表达式提取出来,呐,这样就 OK 了。

Python库

下面简单的罗列一些在编写POC时,你可能会遇到的Python库,建议读者了解一些基本的库的使用,为后期的POC编写做准备。

用于发送HTTP请求的python库:

  • urllib
  • urllib2
  • requests
  • httplib

用于解析处理URL的库:

  • urlparse

正则匹配:

  • re

生成随机数

  • random

MD5算法

  • hashlib

base64

  • base64

socket网络通信

  • socket

IDE使用

因为本系列内容使用的是python来编写的,所以这里给大家推荐一款python开发工具————Pycharm。当然你也可以选择使用其他的编辑器,例如sublime,notepad++等。

 

FLy_鹏程万里
关注
  • 4
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
【大宇无限】软件测试工程师面试题2020-10-23
qq_40641046的博客
10-23 520
【大宇无限】软件测试工程师面试题2020-10-23 1.性能测试里的健壮性和稳定性的理解? 答:1)首先理解健壮性是指:程序在运行过程中出现的一般性错误,程序会自动进行错 误处理函数。 (是指出现错误还能运行的能力) 性能测试的内容:①系统是否很快响应用户;②系统能否处理预期的用户负载并具有盈余能力;③能否处理业务所需的事务数量;④在预期和非预期的用户负载下,系统是否稳定;⑤系统能否确保用户在真正使用系统时所获得积极的体验。 性能测试的目标:①系统响应时间,支持客户数等;②服务器的配置(CPU、内存、磁盘
POC编写指南
03-27
转载自Medici.Yan,以真实案例为背景,针对当下主流的漏洞来分析漏洞,并且一步一步编写对应的 PoC
初探POC编写
博客地址 www.sec0nd.top
07-22 1518
想锻炼一下编程能力,师兄说以后很重要的,最好学好一点但是我又想学习安全相关的,那就来练练pocPoC(全称ProofofConcept),中文译作概念验证。在安全界,你可以理解成为漏洞验证程序(本教程中,如无特别说明,默认代表漏洞验证程序),当然你要强行说我说的不对,我肯定支持你,反正我没打算反驳你。和一些应用程序相比,PoC是一段不完整的程序,仅仅是为了证明提出者的观点的一段代码。...
从0到1—POC编写基础篇(一)
最新发布
m0_69043895的博客
04-23 1388
在网络安全领域中,POC的概念是指"Proof of Concept",也被称为"攻击验证"。它是指安全研究人员或黑客用来证明某个漏洞、弱点或安全问题存在的实证或演示。网络安全研究人员经常通过开发POC来展示一个漏洞的存在和影响,从而向厂商或用户提供证据,并促使其采取必要的措施来修复或解决该问题。通过POC,研究人员可以演示如何利用漏洞来进行攻击、获取敏感信息或者破坏系统。POC通常包括漏洞的利用代码、相关的技术细节以及攻击成功的证据。
如何编写POC/EXP
weixin_45626840的博客
01-10 2938
理解并编写POC/EXP
POC编写指南.pdf
08-17
针对当下主流的漏洞来分析漏洞,可以在很多POC提交网站上练手
fscan——综合扫描工具
07-08
一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测...
计算结构POC报告_基于VHDL的POC设计
03-02
**计算结构POC报告——基于VHDL的POC设计** **一、项目目标与工具** 本项目的目的是设计并仿真一个平行输出控制器(POC),它作为系统总线与打印机之间的接口。通过使用MaxPlus II工具进行设计和仿真,旨在理解和...
unitTesting:POC节点架构
05-20
2. **创建测试用例**:为每个可能的输入或边界情况编写测试,确保代码的全面覆盖。 3. **编写测试**:使用选定的测试框架,编写测试函数,每个测试函数对应一个特定的预期结果。 4. **运行测试**:执行测试套件,...
POC-libj:概念证明
04-29
POC-libj项目,正如其名,是一个针对Java平台的概念验证,它模仿了C语言中的经典库——libc。libc是C语言的标准库,包含了众多基础的系统调用和常用函数,如内存管理、I/O操作、字符串处理等。POC-libj的目标是为...
ios-poc-flow-solution
04-10
【iOS poc 流程解决方案——基于Swift的实践】 在iOS应用程序开发中,Proof of Concept(PoC)是一种验证特定技术、功能或设计概念是否可行的方法。这个名为"ios-poc-flow-solution"的项目,显然是一个针对iOS平台...
一篇文章教你学如何编写poc
weixin_62369433的博客
04-10 2879
POC 指 Proof of Concept(概念验证),是指一个可行性验证,即通过构建一个小型系统或单项功能来验证技术的可行性和正确性。POC 脚本,就是为了验证特定安全漏洞或安全问题而编写的脚本,可用于检测该漏洞是否存在,以及漏洞的利用方式和危害范围。POC 脚本可以帮助安全研究人员快速、简便地检测漏洞,而不需要手动去复现漏洞,减轻了工作难度。POC 脚本可以验证漏洞的利用方式和危害范围,帮助安全研究人员更好地了解漏洞对系统的影响,从而更好地为漏洞修复提供技术支持。
POC编写基础————1、基础知识
热门推荐
Fly_鹏程万里
02-27 1万+
前言 本系列内容主要讲解POC编写,而笔者也是一个小小白,刚刚学习POC编写不久,打算记录一些心得,有兴趣的可以一起讨论,一起交流,同时可以一起分享各自收藏或者编写POC进行学习! 什么是POC PoC(全称: Proof of Concept), 中文可译作“观点验证程序”,它主要用于证明提出者的观点是否正确,在信息安全领域这种观点一般是我们对于漏洞的判断,即目标系统是否存在漏洞。 ...
【PyHacker编写指南】实战编写漏洞POC
XunanSec的博客
05-18 1017
这节课是巡安似海PyHacker编写指南的《编写漏洞POC》经过前面的几节PyHacker系列的沉淀,这节课来讲讲如何编写漏洞POC实现自动化。编写环境:Python2.x
POC-T框架学习————1、需求与设计
Fly_鹏程万里
02-26 2780
POC-T简介 POC-T是一个脚本调用框架,用于渗透测试中采集|爬虫|爆破|批量POC等需要并发的任务。 项目地址:https://github.com/Xyntax/POC-T 需求 安全技术人员经常遇到以下需求: 新漏洞爆发,想要批量扫描公网主机并评估该漏洞影响。 收集论坛内所有成员的公开信息。 利用SSRF漏洞扫描内网主机及端口信息。 对某C段IP反查域名 多次编...
python编写poc_干货分享丨Python从入门到编写POC之爬虫专题
weixin_42513054的博客
12-23 871
Python从入门到编写POC系列文章是i春秋论坛作家「Exp1ore」表哥原创的一套完整教程,想系统学习Python技能的小伙伴,不要错过哦!Python从入门到编写POC之爬虫专题说到爬虫,用Python的貌似是很多的。举个例子,re模块,BeautifulSoup模块,pyspider模块,pyquery等,当然还要用到requests模块,urllib模块,urllib2模块,还有一个四...
XSS POC
qq_43616736的博客
07-28 1965
xss xss 作为owasp top 10 之一, xss 被称为跨站脚本攻击 xss 危害: 1.盗取各种用户帐号 2.窃取用户cookie资料,冒充用户身份进入网站 3.劫持用户会话,执行任意操作 4.刷流量,执行弹窗广告 5.传播蠕虫病毒 xss漏洞发生在 ...
xss poc
cnbird's blog
03-15 765
Ajax Worm - Proof of Concept http://myappsecurity.blogspot.com/2006/12/ajax-worm-proof-of-concept.html Ajax Sniffer - Prrof of concept http://myappsecurity.blogspot.com/2007/01/ajax-sniffer-pr
如何做IT项目PoC测试
木东的博客
11-25 1万+
PoC(Proof of Concept),即概念验证。通常是企业进行产品选型时或开展外部实施项目前,进行的一种产品或供应商能力验证工作。 验证内容 1、产品的功能。产品功能由企业提供,企业可以根据自己的需求提供功能清单,也可以通过与多家供应商交流后,列出自己所需要的功能; 2、产品的性能。性能指标也是由企业提供,并建议提供具体性能指标所应用的环境及硬件设备等测试环境要求; 3、产品...
poc编写指南pdf
11-07
POC编写指南PDF是一份关于编写POC(Proof of Concept)的指南的电子书,通过PDF格式的形式提供给读者。POC是指概念验证,用于验证一个想法、概念或原理的可行性。编写POC时,可以使用各种技术、工具和方法来展示一个想法的可行性。 这份指南涵盖了编写POC的基本步骤和要点。首先,它介绍了POC的定义和目的,明确了编写POC的目标和意义。然后,指南详细介绍了如何选择一个合适的主题或想法,并构思POC的关键要素。在编写POC的过程中,指南提供了实用的建议和技巧,例如如何收集并分析数据、如何选择和使用适当的工具和技术,以及如何评估和展示POC的成果。 此外,指南还着重强调了编写POC的规范与标准。它指导读者编写结构清晰、逻辑严密的POC报告,并提醒读者注意文档的格式、排版和语言的规范性。这些规范和标准保证了POC的可读性和可理解性,使读者更容易理解POC的目的、方法和结果。 最后,指南还提供了一些实际的例子和案例分析,帮助读者更好地理解和应用指南中的内容。这些例子展示了不同领域和行业应用的POC,启发读者思考如何根据自己的需求和场景编写POC。 总之,POC编写指南PDF提供了一个系统和全面的指导,帮助读者学习和掌握编写POC的方法和技巧。无论是对于初学者还是有经验的人士,这份指南都是一个有价值的资源,可以提升他们编写POC能力和水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值