- 博客(5)
- 收藏
- 关注
RSS订阅原创 CTF之《抓到一只苍蝇》解析
文件地址: http://pan.baidu.com/s/1bnGWbqJ提取码:oe6w下载下来为 pcapng格式,用wireshak打开。可以看到JJFLY ,哦不,fly.rar size:525701.路径中存在upload,可猜测为上传,过滤规则为http.request.method=="POST";后面几个post包里面应该是文件碎片第2-6个文
2016-07-08 13:59:28
2955
原创 XSS实战篇
.思路: 首先是对参数进行过滤猜测: 差了几个有特特征性的符号。发现今天这个站1.对 "\,'"进行转义,2.双引号进行过滤,3.&地址符进行清空处理。构造代码如下:首先她对尖括号不过滤,但是有尖括号出现,就进行全部过滤。(F12自己看输出结果)可以看到script变为我们熟悉的颜色,是不是很开心呢?
2016-07-08 08:32:05
456
原创 模糊测试流程----fuzz笔记(1)
1.Target: 试目标,就不赘述了。2.确定输入向量: 几乎漏洞的形成原因大都是对于客户端传输的数据(也就是input)没有经过过滤等,在服务端造成了恶意的影响。 例如WEB端进行fuzz:从客户端向服务端传输数据包{ 能传输的任何数据(例如header,useragent等)},这些传输的数据大多数都可能为模糊测试变量。3.生成模糊测试数据:
2016-07-07 09:14:53
3143
原创 XSS原理剖析【基础篇】【原创】
引题:许多人对于XSS的理解都走进了一个误区,仅仅局限于一个alert弹窗,并没有什么卵用见到框框就狂X,疯狂的去想如何绕过,下面我会给大家讲一下我对XSS原理的理解,对XSS类型的漏洞如何去挖掘。如果你认为XSS不算可以利用的漏洞,可以直接关闭此窗口。正文:首先,我个人将XSS漏洞的原理理解为客户端与服务端交互时,服务端将客户端传输的恶意数据经过过滤/未过滤地方式完整写在
2016-07-05 10:00:26
520
原创 编译原理-词法分析-语法分析-语义分析生成中间代码-python版
# -*- coding:UTF-8 -*-#!/usr/bin/pythonimport stringimport sysimport Analyze_2Identifier=['if','else','for','while','do','int','write','read','']Delimiter="( ) } { ;"Operator_1="+-*/"Operator_
2016-06-18 10:02:41
7663
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人