- 博客(15)
- 收藏
- 关注
RSS订阅原创 WEB应用安全测试技术——IASA
三种技术应用场景分析IAST交互式应用安全测试技术是最近几年比较火热的应用安全测试新技术,曾被Gartner咨询公司列为网络安全领域的Top 10技术之一。IAST融合了DAST和SAST的优势,漏洞检出率极高、误报率极低,同时可以定位到API接口和代码片段。1. 实现原理IAST的实现模式较多,常见的有代理模式、VPN、流量镜像、插桩模式,本文介绍最具代表性的2种模式,代理模式和插桩模式。代理模式:在PC端浏览器或者移动端APP设置代理,通过代理拿到功能测试的流量,利用功能测试流量模拟
2020-07-30 17:34:10
1133
原创 基于对错的sql注入整理
关于SQL注入的注入方式与回显对比:POST 成功回显 失败回显 错误回显 用户名和密码 (flag.jpg) 无 (slap.jpg) Mysql错误信息 (slap.jpg) 无 (flag.jpg) 无 (slap.jpg) Mysql错误信息 (slap.jpg) 无 (flag.jpg) 无 (slap.jpg) 无 (s...
2020-07-06 16:29:36
253
原创 Linux学习笔记
先了解一下什么是Linux: Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。 Linux操作系统诞生于1991 年10 月5 日(这是第...
2020-07-06 15:50:31
183
原创 sqli-labs:Less-1——Less-25a
GETLess 注入方法 正确回显 错误回显 1 基于错误注入 查询到的用户名和密码 Mysql错误信息 5 双注入 固定字符串 Mysql错误信息 7 导出文件注入 固定字符串 另一固定字符串 8 Bool型盲注 固定字符串 无 9 Time型盲注 固定字符串 同一...
2020-07-06 15:49:47
277
原创 CTF实验吧——认真一点!
我的第一只小爬虫爆数据库长度import requestsimport reimport stringimport threadingimport times = requests.session()url = "http://ctf5.shiyanbar.com/web/earnest/index.php"str1 = "You are in"header = { ...
2020-07-06 15:49:02
357
原创 linux根目录下主要的目录及目录的功能
(1)/ : 根目录(2)/bin :存放启动时所需要的普通程序(3)/boot : 存放内核及启动所需要的文件(4)/dev :存放设备相关的文件(5)/etc :存放系统的配置文件(6)/home:存放用户文件的主目录,用户数据( cd ~ 可进入自己的主目录)(7)/lib :存放启动时所需要的库文件(8)/mnt :存放临时的映射文件,通常是一些用来安装其他设备的子目录(如 /mnt/cdrom /mnt/floppy)(9)/proc :这是一个虚拟的文件系统,存放当前系统的状态(有关进程和系统信
2020-07-05 22:34:42
721
原创 python中解决ASCII编码错误问题
# -*- coding: 编码类型 -*-为源码文件指定不同的编码(默认为utf-8编码,所有字符串都是unicode字符串)故解决办法:在脚本最上面加入:#-*-coding:utf-8-*-...
2020-04-11 18:45:30
1633
转载 SQLMap中tamper的简介
目录结构一、SQLMap中tamper的简介1.tamper的作用2.tamper用法二、适配不同数据库类型的测试tamper三、SQLMap中tamper篡改脚本的功能解释一、SQLMap中tamper的简介1.tamper的作用使用SQLMap提供的tamper脚本,可在一定程度上避开应用程序的敏感字符过滤、绕过WAF规则的阻挡,继而进行渗透攻击。部分...
2019-08-07 11:18:43
619
翻译 并查集(Union-Find)算法介绍及例题讲解
part 1:先来点带理论的哈!本文主要介绍解决动态连通性一类问题的一种算法,使用到了一种叫做并查集的数据结构,称为Union-Find。更多的信息可以参考Algorithms 一书的Section 1.5,实际上本文也就是基于它的一篇读后感吧。原文中更多的是给出一些结论,我尝试给出一些思路上的过程,即为什么要使用这个方法,而不是别的什么方法。我觉得
2018-01-08 20:20:52
2909
转载 DP(求最长公共子序列)
1.基本概念 首先需要科普一下,最长公共子序列(longest common sequence)和最长公共子串(longest common substring)不是一回事儿。什么是子序列呢?即一个给定的序列的子序列,就是将给定序列中零个或多个元素去掉之后得到的结果。什么是子串呢?给定串中任意个连续的字符组成的子序列称为该串的子串。给一个图再解释一下:
2017-12-22 20:54:53
788
原创 碾转相除求最大公约数 最大公倍数
关键词:求最大公约数 在数学中,辗转相除法,又称欧几里得算法,是求最大公约数的算法。辗转相除法首次出现于欧几里得的《几何原本》(第VII卷,命题yⅠ和Ⅱ)中,而在中国则可以追溯至东汉出现的《九章算数》。两个整数的最大公约数是能够同时整除它们的最大的正整数。辗转相除法基于如下原理:两个整数的最大公约数等于其中较小的数和两数的相除余数的最大公
2017-12-19 13:00:12
1660
转载 C++ 栈和队列的使用
要使用标准库的栈和队列,首先得添加头文件#include #include定义栈:stack curStack;定义队列:queue curQueue;栈的操作: curStack.empty() 如果栈为空返回true,否则返回false;curStack.size() 返回栈内元
2017-12-13 21:22:33
248
原创 幸运大奖
题目描述tabris实在是太穷了,为了发财,tabris去买了一张彩票,幸运地中了特别奖。特别奖是这样的,不会直接给你发钱.会给你一串二进制数s,让你在s中选择一个不大于k的区间,这个区间表示的数就是获奖者的奖金数目.tabris中奖之后已经激动地蒙圈了,他不知道如何选择能获得最多的钱,你能帮帮他不?输入描述:输入一个整数T(T≤10),代表有T组数据.
2017-12-12 21:07:33
419
转载 深度优先搜索(DFS)
1.前言FS)有点类似广度优先搜索,也是对一个连通图进行遍历的算法。它的思想是从一个顶点V0开始,沿着一条路一直走到底,如果发现不能到达目标解,那就返回到上一个节点,然后从另一条路开始走到底,这种尽量往深处走的概念即是深度优先的概念。你可以跳过第二节先看第三节,:)2.深度优先搜索VS广度优先搜索2.1演示深度优先搜索的过程还是引用上篇文章的样例图,起点仍然是V0,我们
2017-12-04 17:37:44
558
转载 #include<cstdlib>的解释
是一些常用的函数,但是又不知道把它们放到哪里合适,因此就都放到了stdlib.h这个头文件中。stdlib.h可以提供一些函数与符号常量,具体如下:根据ISO标准,stdlib.h提供以下类型:size_t, wchar_t, div_t, ldiv_t, lldiv_t常量NULL, EXIT_FAILURE, EXIT_SUCESS, RAND_MAX, MB_CUR_MAX函
2017-12-03 10:33:51
11780
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人