自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

blrk

此博客用于本人学习、工作中的知识记录,开发总结。欢迎转载、评论,共同探讨提高。...

原创 循序渐进,碰到什么学什么

apache + php + mysql 什么是CDN WxPython apache + php的安装 FastCGI jetty是虾米 apache的配置 Lighttpd是虾米 fckeditor上传漏洞 apache .htaccess ngin...

2013-03-11 16:29:30 820 0

原创 链接收藏

空虚浪子心的灵魂 鬼仔's Blog python tkinter: http://blog.csdn.net/zhou191954/article/category/1249011 web、数据库等知识丰富,csdn博客第一名:http://blog.csdn.net...

2013-02-21 11:36:05 794 0

原创 JavaScript在FireFox和IE中的差异(如setAttribute)

JavaScript中setAttribute用法: http://webcenter.hit.edu.cn/articles/2009/05-16/05070500.htm JS在firefox和IE下差异及解决方案: http://webcenter.hit.edu.cn/articles/...

2013-12-30 14:59:56 812 0

原创 Google Browser Security Handbook

http://code.google.com/p/browsersec/w/list

2013-12-19 11:21:54 886 0

原创 SSRF(Server-side Request Forgery)

SSRF攻击实例解析: http://www.freebuf.com/articles/web/20407.html

2013-12-19 09:41:27 4409 0

原创 csrf 同源策略 xmlhttprequest跨域 xml

同源策略: http://drops.wooyun.org/tips/151 xmlhttprequest: http://drops.wooyun.org/tips/188

2013-12-12 19:34:09 1291 0

原创 python urllib/urllib2/httplib/httplib2

urllib/urllib2/httplib/httplib2区别: http://hustcalm.me/blog/2013/11/14/httplib-httplib2-urllib-urllib2-whats-the-difference/

2013-12-10 09:35:43 1262 0

原创 渗透测试_会话管理

1、会话管理模式     攻击过程:cookie收集、cookie分析、cookie伪造。     分析cookie是否满足以下特点:不可预测性、防篡改、设置有效期、安全标志Secure。     cookie溢出。      2、cookie属性     Secure,httponl...

2013-08-16 16:40:33 1079 0

原创 渗透测试_认证测试

1、证书加密传输     是否采用https(不考虑TLS/SSL本身的安全性)      2、用户枚举     通过与认证机制互动,收集有效用户。     (1)测试不存在的用户名     (2)分析登录页收到的错误代码     (3)分析网址和重定向     (4)URI探测     (5)网...

2013-08-16 10:35:09 1105 0

原创 A2-不当的认证和会话管理

1、原因     认证和会话管理方法设计不当。     包括注销、密码管理、超时机制、记住用户、密码问题、账户更新等。      2、危害     帐号被盗取,攻击者可以拥有该帐号的所有权限。特权帐号常被攻击。      3、发现     (1)存储口令时使用了不安全的哈希或加密算...

2013-08-12 17:13:11 1058 0

原创 渗透测试_SQL注入

1、SQL注入检测     (1)测试者需要列出进行SQL查询的输入字段清单,包括POST请求隐藏字段。然后对他们进行逐一测试,尝试使用查询对其进行干涉并产生错误。     (2)通常给测试的字段增加一个单引号(')或一个分号(;)。单引号是用在SQL中作为一个字符串终止符。如果应用程序...

2013-08-12 16:06:22 970 0

原创 A1-注入

1、注入     包括SQL、LDAP、Xpath、NoSQL查询语句;OS命令;XML解析器、SMTP头、程序参数等。 2、原因     直接拼接用于提交的参数到查询语句或命令中。 3、危害     数据被窃取、数据篡改、DOS、脱裤等。 4、发现     是否将有害数据和命令、查询分离。...

2013-08-12 14:48:29 878 0

转载 简单的php页面架构

http://localhost/index.php?action=newslist   1、 2、  //专门建立一个top.php 用于解析网站头部文件  什么叫头部? 就是 …… 这里的内容。这里会处理一下公用的元素和自定义显示标题或者加载不同的脚本 ...

2013-07-19 11:18:23 1034 0

原创 hdwiki 5.0漏洞修复(补充中。。)

1、 漏洞:编辑词条,上传图片,服务端未作类型判断,导致直接上传php文件,从而获取webshell。 修复:修改文件wiki/control/attachment.php     // 禁止上传除了jgp、gif、png后缀的其他文件     if ($extname != "jpg&...

2013-07-03 19:32:14 1292 0

原创 magic_quotes_gpc的作用(from sg的challenges)

challenges目录中的htaccess文件,添加一句: php_flag magic_quotes_gpc off php magic_quotes_gpc的详细使用方法:http://developer.51cto.com/art/200911/165392.htm php 防sql注入...

2013-07-03 19:29:29 781 0

原创 fckeditor php 漏洞利用

http:///includes/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://http://%2Ffckeditor%2Feditor

2013-07-03 10:38:22 1821 0

原创 xss平台搭建(使用xsser.me源码)

需要修改的地方比较多,目前已基本可用,还在学习摸索中。。。 1、将xssplatform.sql中的xsser.me/修改为实际使用的URL,如localhost:6666/xss/ 2、修改themes\default\templates\register.html中的提交按钮的源码为: 行...

2013-06-24 10:36:27 19916 12

原创 DOS命令之findstr

D:\>findstr /? 在文件中寻找字符串。 FINDSTR [/B] [/E] [/L] [/R] [/S] [/I] [/X] [/V] [/N] [/M] [/O] [/F:file] [/C:string] [/G:file] [/D:dir list...

2013-06-10 13:36:15 902 0

原创 DOS命令之for

D:\>for /? 对一组文件中的每一个文件执行某个特定命令。 FOR %variable IN (set) DO command [command-parameters] %variable 指定一个单一字母可替换的参数。 (set) 指定一个或一组文...

2013-06-10 13:36:07 684 0

原创 SHELL命令之ln

root@bt:~/test# ln --help Usage: ln [OPTION]... [-T] TARGET LINK_NAME (1st form) or: ln [OPTION]... TARGET (2nd form) or: ln...

2013-06-08 11:04:56 734 0

原创 SHELL命令之umask

新创建的文件和目录,默认权限是不一样到,目录会多一个x权限。 root@bt:~/test# umask 0022 root@bt:~/test# touch 1.txt root@bt:~/test# mkdir 1 root@bt:~/test# ll drwxr-xr-x 2 r...

2013-06-08 10:41:37 959 0

原创 SHELL命令之chgrp

root@bt:~/test# chgrp --help Usage: chgrp [OPTION]... GROUP FILE... or: chgrp [OPTION]... --reference=RFILE FILE... Change the group of each FILE ...

2013-06-08 10:36:28 986 0

原创 SHELL命令之chown

root@bt:~/test# chown --help Usage: chown [OPTION]... [OWNER][:[GROUP]] FILE... or: chown [OPTION]... --reference=RFILE FILE... Change the owner a...

2013-06-08 10:34:11 1751 0

原创 SHELL命令之who、whoami、id

root@bt:~/test# who --help Usage: who [OPTION]... [ FILE | ARG1 ARG2 ] Print information about users who are currently logged in. -a, --all ...

2013-06-08 10:29:37 2901 0

原创 SHELL命令之chmod

root@bt:~/test# chmod --help Usage: chmod [OPTION]... MODE[,MODE]... FILE... or: chmod [OPTION]... OCTAL-MODE FILE... or: chmod [OPTION]... --r...

2013-06-08 10:01:25 995 0

原创 DOS命令之reg

D:\>reg /? REG Operation [Parameter List] Operation [ QUERY | ADD | DELETE | COPY | SAVE | LOAD | UNLOAD | REST...

2013-06-07 15:23:37 928 0

原创 DOS命令之net

D:\>net /? 此命令的语法是: NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP | HELPMSG | LOCALGROUP | PAUSE | SESSION | SHAR...

2013-06-07 15:14:46 761 0

原创 DOS命令之find

D:\>find /? 在文件中搜索字符串。 FIND [/V] [/C] [/N] [/I] [/OFF[LINE]] "string" [[drive:][path]filename[ ...]] /V 显示所有未包含指定字符串的行。 /C ...

2013-06-07 09:03:15 808 0

原创 DOS命令之tracert

D:\test>tracert /? 用法: tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] [-R] [-S srcaddr] [-4] [-6] target_name 选项: ...

2013-06-06 16:52:41 780 0

原创 DOS命令之route

D:\test>route /? 操作网络路由表。 ROUTE [-f] [-p] [-4|-6] command [destination] [MASK netmask] [gateway] [METRIC metric] [IF interfa...

2013-06-06 15:58:39 1023 0

原创 DOS命令之ping

D:\test>ping /? 用法: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]]...

2013-06-06 15:55:48 871 0

原创 DOS命令之netstat

D:\test>netstat /? 显示协议统计和当前 TCP/IP 网络连接。 NETSTAT [-a] [-b] [-e] [-f] [-n] [-o] [-p proto] [-r] [-s] [-t] [interval] -a 显示所有连接和侦听端...

2013-06-06 15:47:24 809 0

原创 DOS命令之nbtstat

D:\test>nbtstat 显示协议统计和当前使用 NBI 的 TCP/IP 连接 (在 TCP/IP 上的 NetBIOS)。 NBTSTAT [ [-a RemoteName] [-A IP address] [-c] [-n] [-r] [-R] [-RR] [...

2013-06-06 15:32:12 691 0

原创 DOS命令之ftp

D:\test>ftp /? 将文件传送到运行 FTP 服务器服务(经常称为后台程序)的计算机以及将文件从该计算机 传出。可以交互使用 Ftp。 FTP [-v] [-d] [-i] [-n] [-g] [-s:filename] [-a] [-A] [-x:sendbuffer] [-...

2013-06-06 15:28:55 858 0

原创 DOS命令之finger

D:\test>finger 显示与运行手指服务的指定系统上某个用户有关 的信息。输出因远程系统而异。 FINGER [-l] [user]@host [...] -l 以长列表格式显示信息。 user 指定需要其信息的用户。省略 user 参数 ...

2013-06-06 15:27:16 1181 2

原创 DOS命令之arp

D:\test>arp /? 显示和修改地址解析协议(ARP)使用的“IP 到物理”地址转换表。 ARP -s inet_addr eth_addr [if_addr] ARP -d inet_addr [if_addr] ARP -a [inet_addr] [-N if_addr] ...

2013-06-06 15:24:15 1029 0

原创 DOS命令之mem

D:\test>mem /? Displays the amount of used and free memory in your system. MEM [/PROGRAM | /DEBUG | /CLASSIFY] /PROGRAM or /P Displays statu...

2013-06-06 15:14:08 2379 0

原创 DOS命令之cls、ver、date、time

D:\test>cls /? 清除屏幕。 CLS D:\test>ver /? 显示 Windows 版本。 VER D:\test>date /? 显示或设置日期。 DATE [/T | date] 显示当前日期设置和输入新日期的提示,请键入 不带参数的 DATE。...

2013-06-06 15:10:56 1001 0

原创 DOS命令之del

D:\test>del /? 删除一个或数个文件。 DEL [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names ERASE [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names names ...

2013-06-06 15:08:11 689 0

原创 DOS命令之attrib

D:\test>attrib /? 显示或更改文件属性。 ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I] [drive:][path][filename] [/S [/D] [/L]] + 设置属性。 ...

2013-06-06 15:05:45 758 0

提示
确定要删除当前文章?
取消 删除