- 博客(10)
- 收藏
- 关注
RSS订阅原创 OWASP TOP10 2021总结
OWASP(Open Web Application Security Project)是一个开源的、非盈利的全球性安全组织。是指web应用程序安全风险。2021年web漏洞较以往有一些变化。2021top 10总结如下:A01:2021-Broken Access Control 访问控制失效A01:访问控制失效(Broken Access Control)从第五位上升到了第一位。94%的应用程序都经过了某种形式的访问控制失效测试。提供的数据表明,超过94%的app都经历过某种形式的越权访问控
2022-03-14 19:52:54
9136
原创 python爬取视频界面简介
一 用到的库requests库:众所周知,爬虫神器二 JSON是什么JSON ( JavaScript Object Notation) ,是一种数据交互格式。没有结束标签 更短 读写的速度更快 能够使用内建的 JavaScript eval() 方法进行解析 使用数组 不使用保留字三python爬取直播中国视频打开界面 f12选择对应的url使用res定义变量requests.get 是指定义的url变量的地址发送get请求,返回的数据是json格式的...
2022-01-25 17:38:40
3150
原创 爬取网站目录工具githack
一 git hack下载地址: GIT:https://github.com/lijiejie/GitHackgit hack介绍:a GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码。b 设置环境变量:装上Python2,然后把Python2目录添加到环境变量 右键计算机-属性-高级系统设置c 然后执行命令D:\Python27\python.exeD:\Users\cxt\Downloads\GitHack-master\GitHack...
2022-01-21 10:40:51
2024
原创 记一次nmap的使用方法
一 什么是nmap nmap是一个开源的网络连接扫描软件。用来扫描计算机开放的网络连接端。用于评估网络系统安全,另外,还有许多使用的插件 比如 sql注射 网络爬行 数据库密码检测等。二 安装nma进入官网 http://namp.org 安装过程比较简单 在这里不展开详细赘述。三 使用nmap打开cmd 输入 nmap 可以启动exe 在这里输入zenmap 启动图形化界面。四 探测主机信息nmap有多种扫描方式 包括TCP Syn TCP conn...
2021-11-22 21:28:39
3943
原创 pikachu靶场之反射型GET方法
一 什么是用户枚举漏洞用户枚举漏洞就是指枚举猜测用户名,但不能生成有效用户名列表。这个漏洞之所以存在,是因为服务器在对消息完整解析之前,用户查询了不存在的用户名,所以产生用户枚举漏洞二 影响的版本OpenSSH >=2.3&&<=7.7三漏洞复现首先打开kali虚拟机 然后打开open ssh 的CVE-2018-15473 输入命令docker-compose up -d 然后等待docker环境 如图所示。环境启动后,我们在客户端执行ssh -o.
2021-11-20 11:52:53
2549
原创 攻防世界之web warmup 详解
一 解题思路我们进来之后会发现有一个滑稽表情哦 我的思路就是先点进去查看源代码 源代码如下:二 详细步骤我们打开源码之后 首先想到的就是去访问source.php 源码如下:在这里我思考了好久 找到了一个php文件 于是同样思路继续访问我们可以看到如下结论 在这里可以想到给了4个f l a g 于是我们可以试一下payload构造简单说就是include文件包含是遇到 …/…/会将以.开头,则解析器会在当前目录的父目录下寻找该文件,所以我们要进行转义。或者...
2021-11-11 20:53:24
481
原创 攻防世界杂项MISC之Red-Green
一 解题思路首先我们打开这个题 发现是一个图片。打开之后觉得是像素问题 一番思考觉得不对 于是改变思路,利用隐写的工具stegsolve 打开之后发现如图所示界面。在这里因为题目是red green 我们想到勾选red的0 发现文件头ffd8 我一开始觉得很熟悉 但不知道是什么,于是开始百度搜索文件头是jpg格式。然后直接导出即可。...
2021-11-09 20:47:54
610
1
原创 越权访问漏洞原理
一 漏洞描述越权访问漏洞在2021年是被OWASP列为Web应用十大安全隐患的第一名。可见这个漏洞在我们的日常生活比较常见。二 漏洞分类越权访问漏洞具体来分可以分为2类:水平越权 和 垂直越权。我们来详细介绍一下这两种越权方式的不同。1 水平越权相同级别的同一用户或者同一角色的不同用户,可以越权访问,修改或者删除其他用户信息的非法操作。2 垂直越权不同级别之间的用户或者不同角色之间的用户之间的越权,比如普通用户可以执行管理员执行的功能。三 漏洞原理(产生原因) 隐藏的.
2021-11-08 17:02:57
1288
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人