- 博客(6)
- 收藏
- 关注
RSS订阅原创 渗透小工具—对子域名爆破结果进行有效性验证和内容抽取
在渗透过程中,主站安全性往往比较好,所以要爆破子域名并试图从旁站开始下手。常用的获取子域名的工具有subDomainBrute和Layer子域名挖掘机,但是这两个工具的结果只是把域名及IP导出,并不知道是否能够连通、该子域名对应的网站内容是什么。一般的站点子域名往往能达到几十个,这时候一个一个手动去试太麻烦了,于是我写了下面这个脚本(Python3),分享给大家。#coding=utf-8"...
2018-10-21 10:18:09
1379
1
原创 Web安全中的业务安全问题
今天下午看完了《业务安全实战指南》,是一本2018年的新书。这本书包含的业务安全内容感觉挺全的,不过编排并不好,很多地方都有重复;应该是不同作者写了不同章节,但是事先没有分的太清楚。我将结合以往知识与这本书的内容总结一下Web安全中的业务安全问题。业务安全问题给我的最大感觉就是:漏洞本身技术含量并不高,关键是处理逻辑是否足够严密。我想大致可以将导致业务漏洞的原因分为以下两类:1.过于信赖客户端...
2018-10-15 21:35:23
1813
1
原创 设计模式—享元模式
享元模式(Flyweight)是一种结构型设计模式,它的出现是为了在使用大量细粒度对象时节省空间。在使用大量细粒度对象时,它们彼此之间往往有所相同,又有所不同。比如在一个PPT文档中,可能多处出现了“A”这个字母。它们之间的共同处是字形一样,都是A;不同是颜色不同,有的地方字体颜色为黑,有的地方为灰。我们把这些对象之间相同的地方抽象出来称为“内蕴状态”,不同的地方称为“外蕴状态”。在使用享元模式...
2018-10-14 11:23:27
165
原创 设计模式—门面模式
门面模式(Facade)是结构型设计模式,它的作用是为客户端提供一个简单易用的接口,统一执行一些功能;当然,客户端也可以不使用它,自己去对这些功能进行细致的操作与控制。比如我们现在的手机照相,通常有一个自动(Auto)模式,适合于不太会设置光圈对比度之类东西的用户使用,但是它的手动模式则适合高级用户使用,用户可以自己细致操作每一个步骤,代价是使用更繁琐。这里的自动模式就是一个门面。又比如在公司...
2018-10-14 10:39:36
133
原创 设计模式—装饰器模式
当你去买手抓饼时,可以选择最基础的,也可以选择加蛋的,加肠的,或者加肠加蛋的。假如我们在编程中遇到了类似的问题:已经有了一个最基础的手抓饼类(它继承了手抓饼接口),如何修改代码使得可以创建加肠版本的手抓饼或者加蛋版本的手抓饼呢?也许最简单的直觉是再创建两个类继承手抓饼接口,但是这样还要在这两个版本中把基础手抓饼制作代码再重复一遍,然后进行加肠或加蛋;但其实我们只需要额外添加肠或者添加蛋的代码就够...
2018-10-11 10:35:02
228
原创 数据库(1)—关系数据库简介
也许你经常听到SQL server,Oracle,MySQL等名词,人们将它们统称为数据库。这些服务软件的完整名称其实叫做数据库管理系统(Database-Management System,DBMS),它由数据库(即一些数据的集合)与用来对数据库进行管理(比如访问、创建、删除、修改)的程序组成。基于不同的数据模型,数据库又被分为很多种。目前最常见的,被广泛实现的是关系数据库,它基于关系模型。比...
2018-10-02 15:47:26
704
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人