- 博客(20)
- 资源 (1)
- 收藏
- 关注
原创 KNN(K nearest neighbor)算法
KNN(K nearest neighbor)算法KNNK nearest neighbor算法KNN算法是分类算法的一个基础算法,它是一个先验算法,也就是需要首先有一个基础的分类,再对一个目标样本进行分类的算法。
2016-10-21 23:23:51
3759
1
原创 CSRF与Cookie
【背景知识】Cookie分为2种:临时cookie,没有expire-day,浏览器打开网页得到,关闭网页销毁。本地cookie,有expire-day,浏览器打开网页得到,生命期结束后才销毁,不论网页是否关闭。浏览器同时打开了A页面和B页面(二者不同域名),A页面中有B页面的资源C。所以用户打开A页面时,会请求B页面中的资源C,发给B的数据包中就带有临时cookie,
2015-12-01 13:13:56
3781
原创 安全攻击的命名艺术
网络安全攻击中,为了更形象更通俗的表达攻击方式,人们对一些攻击方式进行了很有趣味的命名,比如鱼叉攻击和水坑攻击。鱼叉攻击(spear phishing) 故名思议,是使用鱼叉进行针对性的攻击。她的攻击方式一般是特定的政府、公司或团体。最常使用的方式是,发送包含木马的邮件给特定的人员,诱使对方打开邮件,感染木马。这种邮件一般都有很诱惑的标题,比如政治机密、色情、金融机密等。用户遇到这种邮
2015-10-15 11:56:29
934
原创 anquan123
以前一直想做类似hao123的导航网站给team内用,今天发现网上已经有一个现成的,做的很好。网址:http://navisec.it/有常用工具、推荐网站、安全社区、安全团队、社工库、攻防大赛、漏洞库、博客集合、厂商、知识库等分类。拿来主义用的好可以再创辉煌,用的不好就成了享乐主义。自己现在似乎成了后者,要警戒!!!
2015-09-07 14:27:59
387
原创 乌云白帽子大会感受
第一次参加专业的黑客技术大会,了解了大会的组织形式,演讲形式,观众情况。演讲议题内容有好有坏,有方向科普的,有故意炫技的,有认真准备的,有敷衍了事的,有口若悬河的,有紧张过度的。乌云后续会放出演讲内容PPT和录像,大家可以关注官网的发布。个人觉得讲的不错的有:l 《Struts 2 事件两周年启示+乌云社区颁奖》——乌云漏洞平台负责人:疯狗l 《3G/4GUSIM3G/4G USIM
2015-07-20 13:48:26
1410
翻译 HTML5Ssec.org中文版
HTML5Ssec.org中文版 #1 XSS formaction,需要用户交互poc:Xformaction是html5的的@action动作。防护:不要允许用户提交包含@form和@formaction属性的标签,或者把它们转换成伪造的属性。避免给或@submit赋予@id属性。 #7 autofocus属性,来实现自执行poc:当页面加载时,
2015-06-03 17:15:34
586
原创 HTML5安全
HTML5安全0X01 概念 HTML做为Web的基本元素,其发展历史如下,现在最新的HTML5标准还在制订中,但主流的浏览器厂商已经支持了大部分的HTML5元素。HTML 1.0——在1993年6月作为互联网工程工作小组(IETF)工作草案发布(并非标准):HTML 2.0——1995年11月作为RFC 1866发布,在RFC 2854于2000年6月发布之后
2015-04-11 20:47:08
606
原创 GoogleHacking
GoogleHacking0x01 概念 听到这个词很久了,一直只闻其名不见其神。Googlehacking,顾名思义,就是用搜索引擎来搜索特定的信息,尤其是与入侵/hack相关的信息。 GoogleHacking主要用到google的以下几个搜索技巧:l site: 搜索指定域名,可以包含通配符*,比如 site:*.baidu.com 只搜索百
2015-04-08 10:08:30
1672
原创 AttackApi
AttackAPI1. 概念AttackApi是一个用于XSS攻击的JS库,你不用再写那些繁琐的涉及到各种标签各种dom各种系统各种浏览器的基础代码,直接调用AttackAPI为你封装好的那些函数即可。 2. 使用AttackApi的使用极其简单,主要分2部:(1) 注入attackApi代码在有XSS漏洞的地方插入以下代码:”//加载At
2015-04-02 00:22:29
3054
原创 Javascript
Javascript JS是Web前端开发、Web前端漏洞挖掘必备技能。本文对一些基本的JS运用做一个简要的总结供自己学习回顾之用。 JS里所有的变量都是对象,都有属性和方法,比如数字类型,都有tostring方法,可以直接转成字符串。 vara=1; var b=a.toString(); //JS数字转字
2015-03-27 23:57:15
435
原创 正则表达式
正则表达式1. 概念正则表达式是程序员们经常用来做字符串匹配的重要工具,其基本元字符大家应该都熟悉,但一些较高级的能明显提高逼格的高级匹配方法也许有助于你更好的完成你的字符匹配需求。2. 基本元字符正则表达式的基本元字符构成了正则引擎的基本元素,也是最需要熟悉的。下表是一个总结。元字符含义使用示例示例含义
2015-03-26 00:53:11
515
原创 MIME类型
MIME类型1. 概念MIME(Multipurpose Internet Mail Extensions)设计之初是为了在email中附加多媒体,让mail客户端能根据媒体类型进行处理,后来该设计被引用到HTTP中,使得HTTP传输的不仅仅是普通的文本了,Web服务器/浏览器就能根据不同的MIME类型做不同的处理。MIME格式是:类型; [参数名=参数值]比如:te
2015-03-25 17:46:40
598
原创 SSL/TLS
1. 概念SSL是由Netscape发明,V3版本是结合了公众和厂商的意见而设计的,它开始被作为一种互联网草案而发布,现在已经成了互联网上的标准。IETF在Openssl3.0的基础上做了一些细微的修改,编写了TLS1.0版本,也即SSL3.1。 SSL构件SSL用来提供端到端的可信TCP链接,SSL涉及到2层协议,如下图SSL握手协议SS
2015-03-24 20:58:16
614
原创 struts2漏洞利用
struts2漏洞利用1. 概念Apache Struts2是一个适用于Java Web应用的开发框架,在企业Web应用市场广泛被使用。该框架由于使用广泛,被安全人员研究较多,爆出了很多高危漏洞,官网上发布了很多安全问题修复方案:http://struts.apache.org/docs/security-bulletins.html,且由于表达式灵活,修复方式也很容易被绕过
2015-03-18 11:32:11
2950
原创 XML攻击
XML防火墙1. 背景XML: 元素、属性、实体、PCDATA、CDATADTD: 元素 属性 实体声明 内部/外部 实体 &实体名称;命令空间:(xmlns(:ns-prefix)=”nsURI”),这个nsURI没有实际意义,仅仅是作为一个标识。SOAP:逻辑上是一种协议,内容上是一种固定格式的XML
2015-03-18 11:30:36
5110
原创 MetasploitFramework
MetasploitFramework1. 概要Metasploit是一个开源的渗透测试框架软件,也是一个逐步发展成熟的漏洞研究与渗透代码开发平台。Metasploit有很多插件模块,可以用到攻击中的各个阶段,包括:情报搜集阶段:Nmap,Nessus,OpenVAS威胁建模阶段:可将信息存储至数据库,进行威胁建模漏洞分析阶段:大量的协议Fuzz测试器和Web漏洞分析模块
2015-03-18 11:28:27
559
原创 Burpsuite
Burpsuite1. 概要Burpsuite是sectool网站总结的排名第13的安全工具,由java写成,它也是一个WEB安全的集成平台工具,它包含了很多现成的工具或接口,用来实施或加速web安全测试,所有这些工具公用同一个框架,来处理或展示HTTP信息、持续性、认证、代理、日志、告警及可扩展性。BurpSuite分免费版和专业版(网上可找到破解版)。2. 使用
2015-03-18 11:21:04
1209
1
原创 Nmap
NMAP1. 概要nmap是一款用于网络管理员检测一个大的网络系统中哪些主机开启了哪些服务,以及这些服务的版本甚至漏洞信息。 2. nmap扫描出来机器的开放端口有3个状态l open:开放了端口l filtered:有防火墙在过滤该端口l unfiltered:需要进一步查明 3. nmap的命令非常简单nmap [option] $desti
2015-03-18 11:09:23
923
原创 FAT32/NTFS
最近在Windows平台下做一款类似Everything的文件极速搜索软件,要求以最快的速度搜索名称中包含关键字的文件,对NTFS可以利用Everyting的原理,读取NTFS秘书USN日志,再做一些存储索引的处理,速度还可以;Fat32文件系统只能遍历磁盘,一个一个文件做字符串匹配,速度比较慢。所幸,现在绝大多数的文件系统都是NTFS了,对FAT的快速搜索不做也可。
2011-10-27 15:10:17
540
Source Insight 文件标签/UTF8插件
2014-12-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人