![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
个人笔记
文章平均质量分 84
玛卡_八嘎
暂时是一个萌新
展开
-
3步教您在pycharm中搭建Streamlit库
简单搭建streamlit原创 2023-03-04 14:35:53 · 3468 阅读 · 0 评论 -
burp数据包参数详解
写给我好学的徒弟吴doc原创 2022-11-08 16:06:01 · 2582 阅读 · 0 评论 -
登录界面——渗你千千万万遍
小菜鸡分享自己遇见登录界面的渗透测试思路,欢迎大佬们分享思路原创 2022-04-20 17:19:29 · 6839 阅读 · 1 评论 -
从python脚本看透信息收集工具原理
最近在学习python脚本写exp与poc,学到利用python库进行一些简单信息收集,也从中看出一些工具的原理,在此做个笔记原创 2022-04-12 15:33:25 · 543 阅读 · 0 评论 -
Python爬虫学习笔记----基础篇练习
一些基础例题原创 2022-03-30 17:11:21 · 3019 阅读 · 0 评论 -
XSS靶场过关
忘记把以前XSS靶场的笔记贴上来了,今天补一下原创 2022-03-27 17:46:39 · 5264 阅读 · 0 评论 -
小菜鸡的学习笔记——sql注入之sqli-lab边学边练
小菜鸡也有大梦想原创 2022-03-03 23:28:13 · 3727 阅读 · 0 评论 -
关于信息收集
信息收集概念什么是信息收集:信息收集是指通过各种方式获取所需要的信息。信息收集是信息得以利用的第一步,也是关键的一步。信息收集工作的好坏,直接关系到渗透/漏洞挖掘的质量。其中最主要的:服务器配置信息 :网站的敏感信息 : 子域名/目标网站系统/CMS指纹/目标网站真实IP/开放端口 等流程信息收集的流程:1. 所有者资产:• whois信息:whois是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(原创 2022-03-03 19:47:09 · 5446 阅读 · 0 评论 -
越权与业务逻辑漏洞
越权与业务逻辑漏洞越权支付数据/登录逻辑问题验证与找回问题BP的爬虫使用越权漏洞原因:usertype为1时为管理员账户,其它为普通用户。pikachu靶场实战:水平越权:抓包改名字垂直越权:首先登录普通用户pikachu,可以看到对于普通用户pikachu来说只能看用户不能添加和删改。那么登录管理员账号看看:是可以添加账号的。那么我们在添加账号时抓包获取session把包发给repeater保存一下。再登录普通用户:在查看界面抓包,打开repeater,用之前在ad原创 2022-03-03 19:30:30 · 2770 阅读 · 0 评论 -
文件安全笔记
文件上传,文件读取,文件下载与文件包含原创 2022-01-11 13:23:29 · 125 阅读 · 0 评论 -
SSRF 与 XXE 攻击原理及利用
SSRF 与 XXE 攻击原理及利用SSRF 与 XXE*SSRF详解1.思维导图:2.基本原理1. 什么是SSRF?2. SSRF的成因:3. SSRF的作用:4. 漏洞常见形式:5.验证方法:3.漏洞攻击4. SSRF过滤绕过方法5. 防御方法*XXE详解1.概念2.危害3.检测• 白盒• 黑盒4.利用5.一些payload6.防御与修复SSRF 与 XXE*SSRF详解1.思维导图:2.基本原理1. 什么是SSRF?SSRF:服务器请求伪造,是一种由攻击者构造,通过服务端发起请求的安全漏原创 2021-12-04 20:34:55 · 1494 阅读 · 0 评论 -
朴素的CSRF漏洞
关于CSRF漏洞的笔记基本概念什么是CSRF(xsrf)CSRF,跨站请求伪造,是一种对网站的恶意利用。尽管听起来像跨站脚本,但它与XSS非常不同。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。CSRF的危害:以受害者名义发送邮件,发消息,盗取账号,甚至于购买商品,转账等造成的问题包括:个人隐私泄露以及财产安全。CSRF攻击原理和过程原创 2021-11-23 21:02:09 · 3365 阅读 · 0 评论 -
关于XSS跨站
关于XSS跨站的一些笔记一.XSS的原理1.XSS的本质XSS的本质是一种前端漏洞,用户的数据被当成前端代码的一部分来执行,从而混淆了原本的语义,产生了新的语义.比如在这里输入xiaodi,页面回显了xiaodi,如果把这换成js脚本那么就可以实现一些目的。2.XSS的产生层面如果网站使用MVC架构,那么XSS就发生在VIEW层,即在应用拼接变量到HTML页面时产生.在有用户提交数据进行输入检查的方法,其实并不是在真正发生攻击的地方防御.比如在线购物平台会将购买人的信息返回到服务器查看,这是如原创 2021-11-20 00:43:17 · 3174 阅读 · 0 评论 -
Wireshark在流量分析中的使用
CTF流量分析中wireshrk的基本使用原创 2021-11-03 20:11:11 · 10944 阅读 · 0 评论 -
攻防世界misc-noviciate(杂项)做题笔记
攻防世界杂项新手区做题笔记T1:this_is_flagT2:pdfT3:如来三十掌T4:give_you_flagT5:steganoT6:坚持60sT7:gifT8:掀桌子T9:ext3T10:SimpleRART11:base64stegoT12:功夫再高也怕菜刀T1:this_is_flag目的就是让我们熟悉flag的格式:flag{xxxxxx}FLAG就在题目描述中。T2:pdfpdf转word然后把图片移开,flag在图片底下。也不知道这算不算隐写。T3:如来三十掌菜狗为了打败菜原创 2021-10-28 23:24:07 · 1961 阅读 · 0 评论 -
文件上传漏洞小结与Upload-labs 靶场纪实
Upload-labs靶场学习笔记原创 2021-10-26 19:49:12 · 1344 阅读 · 0 评论