blrk

此博客用于本人学习、工作中的知识记录,开发总结。欢迎转载、评论,共同探讨提高。...

排序:
默认
按更新时间
按访问量

立贴为证!

他奶奶的,受打击了!! 一年,积淀,重新起航! 就像那年高考,怀揣理想,沉下去,静静的修炼。 立贴为证。

2013-06-17 12:56:10

阅读数:1358

评论数:0

循序渐进,碰到什么学什么

apache + php + mysql 什么是CDN WxPython apache + php的安装 FastCGI jetty是虾米 apache的配置 Lighttpd是虾米 fckeditor上传漏洞 apache .htaccess ngin...

2013-03-11 16:29:30

阅读数:755

评论数:0

链接收藏

空虚浪子心的灵魂 鬼仔's Blog python tkinter: http://blog.csdn.net/zhou191954/article/category/1249011 web、数据库等知识丰富,csdn博客第一名:http://blog.csdn.net/phph...

2013-02-21 11:36:05

阅读数:736

评论数:0

JavaScript在FireFox和IE中的差异(如setAttribute)

JavaScript中setAttribute用法: http://webcenter.hit.edu.cn/articles/2009/05-16/05070500.htm JS在firefox和IE下差异及解决方案: http://webcenter.hit.edu.cn/articles/...

2013-12-30 14:59:56

阅读数:708

评论数:0

Google Browser Security Handbook

http://code.google.com/p/browsersec/w/list

2013-12-19 11:21:54

阅读数:785

评论数:0

SSRF(Server-side Request Forgery)

SSRF攻击实例解析: http://www.freebuf.com/articles/web/20407.html

2013-12-19 09:41:27

阅读数:2112

评论数:0

csrf 同源策略 xmlhttprequest跨域 xml

同源策略: http://drops.wooyun.org/tips/151 xmlhttprequest: http://drops.wooyun.org/tips/188

2013-12-12 19:34:09

阅读数:1000

评论数:0

python urllib/urllib2/httplib/httplib2

urllib/urllib2/httplib/httplib2区别: http://hustcalm.me/blog/2013/11/14/httplib-httplib2-urllib-urllib2-whats-the-difference/

2013-12-10 09:35:43

阅读数:1130

评论数:0

渗透测试_会话管理

1、会话管理模式     攻击过程:cookie收集、cookie分析、cookie伪造。     分析cookie是否满足以下特点:不可预测性、防篡改、设置有效期、安全标志Secure。     cookie溢出。      2、cookie属性     Secure,httponl...

2013-08-16 16:40:33

阅读数:910

评论数:0

渗透测试_认证测试

1、证书加密传输     是否采用https(不考虑TLS/SSL本身的安全性)      2、用户枚举     通过与认证机制互动,收集有效用户。     (1)测试不存在的用户名     (2)分析登录页收到的错误代码     (3)分析网址和重定向     (4)URI探测     (5)网...

2013-08-16 10:35:09

阅读数:940

评论数:0

A2-不当的认证和会话管理

1、原因     认证和会话管理方法设计不当。     包括注销、密码管理、超时机制、记住用户、密码问题、账户更新等。      2、危害     帐号被盗取,攻击者可以拥有该帐号的所有权限。特权帐号常被攻击。      3、发现     (1)存储口令时使用了不安全的哈希或加密算...

2013-08-12 17:13:11

阅读数:898

评论数:0

渗透测试_SQL注入

1、SQL注入检测     (1)测试者需要列出进行SQL查询的输入字段清单,包括POST请求隐藏字段。然后对他们进行逐一测试,尝试使用查询对其进行干涉并产生错误。     (2)通常给测试的字段增加一个单引号(')或一个分号(;)。单引号是用在SQL中作为一个字符串终止符。如果应用程序没有将其过...

2013-08-12 16:06:22

阅读数:775

评论数:0

A1-注入

1、注入     包括SQL、LDAP、Xpath、NoSQL查询语句;OS命令;XML解析器、SMTP头、程序参数等。 2、原因     直接拼接用于提交的参数到查询语句或命令中。 3、危害     数据被窃取、数据篡改、DOS、脱裤等。 4、发现     是否将有害数据和命令、查询分离。...

2013-08-12 14:48:29

阅读数:726

评论数:0

简单的php页面架构

http://localhost/index.php?action=newslist   1、 2、  //专门建立一个top.php 用于解析网站头部文件  什么叫头部? 就是 …… 这里的内容。这里会处理一下公用的元素和自定义显示标题或者加载不同的脚本 ...

2013-07-19 11:18:23

阅读数:926

评论数:0

hdwiki 5.0漏洞修复(补充中。。)

1、 漏洞:编辑词条,上传图片,服务端未作类型判断,导致直接上传php文件,从而获取webshell。 修复:修改文件wiki/control/attachment.php     // 禁止上传除了jgp、gif、png后缀的其他文件     if ($extname != "jpg&...

2013-07-03 19:32:14

阅读数:1044

评论数:0

magic_quotes_gpc的作用(from sg的challenges)

challenges目录中的htaccess文件,添加一句: php_flag magic_quotes_gpc off php magic_quotes_gpc的详细使用方法:http://developer.51cto.com/art/200911/165392.htm php 防sql注入...

2013-07-03 19:29:29

阅读数:726

评论数:0

fckeditor php 漏洞利用

http:///includes/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://http://%2Ffckeditor%2Feditor

2013-07-03 10:38:22

阅读数:1561

评论数:1

xss平台搭建(使用xsser.me源码)

需要修改的地方比较多,目前已基本可用,还在学习摸索中。。。 1、将xssplatform.sql中的xsser.me/修改为实际使用的URL,如localhost:6666/xss/ 2、修改themes\default\templates\register.html中的提交按钮的源码为: 行...

2013-06-24 10:36:27

阅读数:16866

评论数:13

DOS命令之findstr

D:\>findstr /? 在文件中寻找字符串。 FINDSTR [/B] [/E] [/L] [/R] [/S] [/I] [/X] [/V] [/N] [/M] [/O] [/F:file] [/C:string] [/G:file] [/D:dir list...

2013-06-10 13:36:15

阅读数:804

评论数:0

DOS命令之for

D:\>for /? 对一组文件中的每一个文件执行某个特定命令。 FOR %variable IN (set) DO command [command-parameters] %variable 指定一个单一字母可替换的参数。 (set) 指定一个或一组文...

2013-06-10 13:36:07

阅读数:626

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭