LiVicto-CSDN博客

原创《小迪安全》学习笔记7 信息收集-CDN相关

# 如何判断目标存在CDN服务？利用多节点技术进行性请求返回判断：超级ping# CDN对于安全测试有哪些影响？# 目前常见的CDN绕过技术有哪些？子域名查询邮件服务查询国外地址请求遗留文件：inurl:phpinfo，扫描全网黑暗引擎搜索特定文件:shodan zoomeyedns历史记录，以量打量（不推荐）www.get-site-ip.com练习：xueersi 子域名上的小技巧通过ping.chinaz.com 看*和www.的区别www

2021-10-12 09:31:39 1567

原创 Web安全深度剖析-第7章-XSS跨站脚本漏洞

XSS又叫CSS（Cross Site Scripting），即跨站脚本攻击。XSS是指攻击者在网页中嵌入客户端脚本，通常是JS恶意代码，当用户使用浏览器浏览被嵌入恶意代码的网页时，恶意代码将会在用户的浏览器上执行。可知，XSS属于客户端攻击，受害者是用户。可以通过攻击网站管理员的方式来对网站进行文件管理、数据管理等操作。XSS原理解析想要深入研究XSS，要精通JavaScript。JS可以用来获取用户的Cookie、改变网页内容、URL调转，那么存在XSS漏洞的网站，就可以盗取用户Cook

2021-08-31 17:10:02 413

原创 Web安全攻深度剖析-第六章-上传漏洞

解析漏洞常见的web容器有iis、Nginx、Apache、Tomcat等，下面以IIS、Apache容器为例讲解。IIS解析漏洞当建立.asa、.asp格式的文件夹时，其目录下的任意文件都被IIS当做asp文件来解析。例如：建立文件夹abc.asp，在abc.asp文件内新建一个文本文档test.txt，其内容<%=NOW()%>，然后再浏览器内访问。IIS还有个经典漏洞，名为WebDav。WebDav扩展了HTTP协议，在get、post等几个http标准方法以外

2021-08-25 17:00:09 328

原创 Web安全攻防渗透测试实战指南-第四章-Web安全原理剖析

SQL注入的基础介绍SQL注入SQL注入就是利用开发人员动态使用SQL语句产生的漏洞进行数据库攻击。以PHP语句为例：$query="SELECT * FROM users WHERE id=$_GET ['id'] ";由于这里的参数ID可控，且带入数据库查询，所以非法用户可以任意拼接SQL语句进行攻击。SQL注入按照不同的分类方法可以分为很多种，如报错注入、盲注、Union注入等。SQL注入的原理SQL注入漏洞的产生需要满足以下两个条件。参数用户可控：前端传给后..

2021-08-23 16:19:10 473

原创 Web安全攻防渗透测试实战指南-第一章-信息收集

目录收集域名信息Whois查询收集敏感信息收集子域名信息子域名检测工具搜索引擎枚举第三方聚合应用枚举1.收集域名信息知道目标域名后，首先获取该域名的DNS服务器信息和注册人的联系信息。常见的收集方法有以下几种。Whois查询用Whois命令查询。例如：Whois baidu.com还有访问whois.chinaz.com2.收集敏感信息可以利用搜索引擎查询域名的敏感信息，例如谷歌的： site 指定域名 inurl.

2021-08-11 11:11:55 1238

原创 2020-08-24

实习到了尾声了，终于遇到了一个core。。。于是简单的学了下之前一直偷懒没学的gdb调试。假设我的二进制文件名叫abc。首先输入命令：gdb abc core.xxxx，进入gdb调试然后bt命令追踪函数栈，找到deal_signal信号的上一个函数栈：像我这儿就是#4，因为#3是空的然后f 4进入具体函数输入l查看代码最后输入info local得到代码内变量的值。主要关注指针，是否为空。...

2020-09-09 16:31:15 107

原创 iterm使用rz命令Received显示成功，但是ll找不到文件

通过rz命令向Linux服务器上传小文件非常方便，于是我在mac上的iterm配置了rz命令。安装完毕后，我用rz命令试了试，发现能正确弹出文件选取窗口，就自认为OK了，想想当时还是太天真。今天用rz命令上传一个文件，上传完后提示Received Filename，但是ll一看，发现并没有上传成功。在G家搜此问题，没搜到，功夫不负有心人，在我司的搜索引擎上搜到了\滑稽。原来是因为我iterm登录的时候使用了expect脚本，我新开了一个空白终端，手动登录服务器，再用rz命令上传文件，成功！...

2020-07-10 15:53:21 5126 4

原创 Mac上pip安装库时指定安装的版本

Mac自带python2.7，自己装了python3后并不会覆盖2.7，而是两个版本共存状态。在使用pip安装库的时候，出现了以下错误：Could not install packages due to an EnvironmentError: [Errno 13] Permission denied: '/Library/Python/2.7/site-packages/Pillow-5.2...

2018-09-20 10:44:58 2026

原创 Python 将csv中的数据导入MySQL

sqlSentence4 = "INSERT INTO sh180 (名称, 股票代码, 日期, 前收盘, 涨跌额, 涨跌幅, 今开, 成交量, 最高, \ 涨停, 内盘, 成交额, 委比, 流通市值, 市盈率MRQ, 每股收益, 总股本, \ 昨收, 换手率, 最低, 跌停, 外盘, 振幅, 量比...

2018-06-12 23:15:39 1711

转载安装redis-dump失败

RedisDump安装报错环境：win10最近在学习python爬虫，需要安装redisdump，这个问题是我遇到的诸多问题之一。解决方法如下原文链接：http://www.cnblogs.com/zrdm/p/8508593.html首先安装 Ruby 安装好后，使用命令行gem install redis-dump在安装过程中始终报错，意思是无法使用make命令然后安装make 参考教程： h...

2018-05-01 00:02:17 2571

转载 pip从9.0.3升级10.01失败的解决(win10环境下)

做毕设要写一个爬虫，正在学习python，安装库的时候提示要更新。使用命令：python -m pip install --upgrade pip 报错。看到一篇博客，进入提示的9.0.3的文件目录，”安装目录“\python\lib\site-packages, 删除文件：pip-9.0.3.dist-info。然后以管理者身份打开cmd,执行上述命令，成功更新。...

2018-04-29 15:14:13 559

转载 Android Studio在导入eclipse的项目时一直卡在gradle:Configure project

学Java的时候用的是eclipse，写android代码的时候用了疯狂android讲义推荐的AS。在用AS的时候出了很多问题，比如我想从别人那里拷贝eclipse写的工程的时候就遇到了Gradle一直卡在Building gradle project info，这个时候我看到了http://blog.csdn.net/wonengxing/article/details/50069287这位前

2016-08-16 15:09:25 14192 1

LiVicto的博客