- 博客(29)
- 收藏
- 关注
RSS订阅原创 Web安全漏洞与防御-XSS(二)——Session攻击
0x00:实验目的使用会话管理的环境,模拟会话劫持的攻击方法,获取已有的cookie进行登录。0x01:模拟会话劫持1、浏览器设置代理,并开启Burp Suite拦截2、登录 login.html,抓取 SeesionID,进行Session 重放攻击。3、清除浏览器缓存,登录check.php,没有管理员权限。4、刷新浏览器,使用Burp suite拦截,改写SessionID...
2019-01-12 16:06:22
469
原创 php $_FILES处理文件上传
众所周知,文件上传在一些网站应用中是必不可少的一部分。比如个人博客上传个性头像,一些论坛分享好的学习资料等,这就涉及到使用表单处理文件上传的知识,在php中 我们可以使用$_FILES这个全局数组来处理。下面就看看基本的文件上传处理部分。首先要说明的,能够上传文件必定是一个安全隐患,所以在开发这部分功 能时,一定要注意网站的安全性。而本文所探讨的只是基本的文件上传部分,关于安全性这方面考虑的较少,...
2019-01-02 17:42:34
602
原创 XSS测试代码大全
‘> %3Cscript%3Ealert(‘XSS’)%3C/script%3E %0a%0a link admin'-- ' or 0=0 -- " or 0=0 -- or 0=0 -- ' or 0=0 # " or 0=0 # or 0=0 # ' or 'x'='x " or "x&
2018-12-31 16:54:20
2345
原创 Web安全漏洞与防御-XSS(一)——会话管理
0x00:实验目的使用php搭建基于Server端的Session会话管理环境至少完成登录页面、检查登录以及清除当期会话三个功能0x01:实验环境安装Apache、PHP、MySQL(或者phpStudy集成环境)测试PHP环境释放搭建成功找到PHP目录…\www 新建文件phpinfo,显示PHP版本信息<?php phpinfo();?>0x02:实...
2018-12-18 17:35:32
449
原创 浅入深谈:秒懂python编程中的if __name__ == 'main' 的作用和原理
python 中__name__ = ‘main’ 的作用,到底干嘛的?有句话经典的概括了这段代码的意义:“Make a script both importable and executable”意思就是说让你写的脚本模块既可以导入到别的模块中用,另外该模块自己也可执行。这句话,可能一开始听的还不是很懂。下面举例说明:先写一个模块:#module.pydef main(): p...
2018-12-10 16:35:26
334
原创 35个资源搜索引擎
凌风云 https://www.lingfengyun.com/ (不免费)盘多多 http://www.panduoduo.net/盘搜搜 http://www.pansoso.com/搜百度盘 http://www.sobaidupan.com/百度网盘之家 http://wowenda.com/盘搜 http://www.pansou.com/盘多多: http://www.p...
2018-12-10 15:09:06
9898
转载 CTF比赛工具自收集
综合{1、CTF工具免费集:https://www.ctftools.com/down/2、聊天机器人助手:https://github.com/CylanceSPEAR/CyBot}密码学{1、培根密码在线解密:https://netair.xyz/tools/培根密码加密解密.html2、md5解密:https://www.somd5.com/ | http://www.chamd...
2018-12-08 22:15:17
580
原创 Linux查看和修改时区
对于部署在海外的Linux服务器来说,拿到的机器时区和本地并不一样,导致运行在上面的应用也面临时区问题。所以有必要修改系统本地时区。0x00:查看时区查看当前生效的时区,可以简单的通过date命令查看当前时间:[root@shuai01 zoneinfo]# date -RTue, 17 Jan 2017 21:36:23 +0800最后的+0800,即东8区。0x01:设置时区...
2018-12-08 18:45:26
7082
原创 关于IP协议首部长度的计算
0x00看到《TCP/IP详解》IP协议中提到IP数据报首部长度是一个4比特字段,因此首部最长是60个字节。最小是20个字节。那么这个怎么算的呢?先看下IP数据报报格式及首部中各个字段,如下图:这里只看首部长度(报文长度)部分首部长度代表的是IP数据报头部的长度,即图中固定部分的长度。0x021、为什么首部长度最小是20字节?图中每行是32bits(即4字节),图中标识的固定部分...
2018-12-08 10:21:15
8362
2
原创 华为交换机的端口hybrid端口属性配置
华为交换机的端口hybrid端口属性配置一、交换机端口链路类型介绍交换机以太网端口共有三种链路类型:Access、Trunk和Hybrid。Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;Trunk类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的...
2018-12-07 12:58:46
15258
3
原创 改变世界的TCP/IP协议
一、7层7层是指OSI七层协议模型,主要是:应用层(Application)、表示层(Presentation)、会话层(Session)、传输层(Transport)、网络层(Network)、数据链路层(Data Link)、物理层(Physical)。各层的作用及描述,以及对应的协议如下图:二、5层5层只是OSI和TCP/IP的综合,是业界产生出来的非官方协议模型,但是很多具体的应...
2018-12-07 09:06:06
140
原创 Pycharm中如何设置默认自动换行
只对当前文件有效的操作:菜单栏->View -> Active Editor -> Use Soft Wraps如果想对所有文件都有效,就要在setting里面进行操作File-> Setting-> Editor-> General -> Use soft wraps in editor。...
2018-11-30 19:29:20
408
原创 php图像函数 imagecreatetruecolor()和imagecreate()的区别
用imagecreatetruecolor(int x,int y)建立的是一幅大小为 x和 y的黑色图像(默认为黑色),如想改变背景颜色则需要用填充颜色函数imagefill(img,0,0,img,0,0,img,0,0,color);imagecreate 新建一个空白图像资源,用imagecolorAllocate()添加背景色上面两个函数只不过是一个功能的两种方法具体用法见以下两种...
2018-11-26 20:55:49
4002
原创 正则表达式匹配IP的表达式
IP地址的生成规则IP地址,是由32位数字二进制转为四个十进制的字符串组成。二进制:11111111111111111111111111111111分为四部分:11111111.11111111.11111111.11111111转化:27+26+25+24+23+22+21+20=255转为十进制范围:0 ~ 255.0 ~ 255.0 ~ 255.0 ~ 255这就是IP地址的范围...
2018-11-26 16:19:05
550
原创 推荐15款免费的网页抓取软件
网页抓取(也称为网络数据提取或网页爬取)是指从网上获取数据,并将获取到的非结构化数据转化为结构化的数据,最终可以将数据存储到本地计算机或数据库的一种技术。网页抓取是通过抓取软件实现的。当你在使用浏览器如Chorme浏览页面的时候,我们可以抓取的不仅仅是你所浏览的页面的数据,还有你浏览器本地的缓存(cookie)。是不是开始担心你的隐私了?是的,我也有这样的担心,不过我们在这里不讨论这个问题。网...
2018-11-24 17:07:07
8296
原创 JDK和Tomcat安装和配置的图文教程
想用Tomcat作为服务器,必须分以下两步。首先要配置好JDK的环境变量,再去下载Tomcat的压缩包。一,下载、安装JDK,并且配置好环境变量。1,下载地址:http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html2,先接受协议,再根据自己的电脑下载相应的JDK版本3,默认安装...
2018-11-18 17:26:50
3960
原创 DVWA系列(一)——DVWA简介
Web应用程序(DVWA)是一个很容易受到攻击的PHP / MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序的过程,并帮助学生和教师了解受控类中的Web应用程序安全性房间环境。DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,具有各种难度。请注意,此软件存在记录和未记录的漏洞。DVWA共有十个模...
2018-11-06 19:11:03
21428
转载 Linux下统计当前文件夹下的文件个数、目录个数
统计当前文件夹下文件的个数:ls -l |grep “^-”|wc -l统计当前文件夹下目录的个数:ls -l |grep “^d”|wc -l统计当前文件夹下文件的个数,包括子文件夹里的 :ls -lR|grep “^-”|wc -l统计文件夹下目录的个数,包括子文件夹里的:ls -lR|grep “^d”|wc -l说明:ls -l :长列表输出当前文件...
2018-11-05 21:43:50
163
转载 安全漏洞公共资源库
国内的安全漏洞信息库主要包括:CNNVD:中国国家漏洞库,由中国信息安全测评中心维护(www.cnnvd.org.cn)。CNVD:中国国家信息安全漏洞共享平台,由国家计算机网络应急技术处理协调中心(CNCERT/CC)维护(www.cnvd.org.cn)。乌云安全漏洞报告平台:民间组织(http://www.wooyun.org/)。SCAP中文社区:由本书作者王珩、诸葛建伟等人发起的...
2018-11-03 15:00:52
1108
原创 Weevely(PHP菜刀)工具使用
前言Weevely是一款使用python编写的webshell工具(集webshell生成和连接于一身),可以算作是linux下的一款菜刀替代工具(仅限于PHP),在linux上使用时还是很给力的,就是某些模块在Windows上无法使用,总的来说还是非常不错的一款工具。仅用于安全学习教学之用,禁止非法用途木马生成和命令格式生成Weevely专用的木马命令格式:weevely genera...
2018-11-02 19:17:15
2627
原创 向中国菜刀致敬!中国蚁剑
中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员已近进行常规操作的网站管理员。任何人不得将其用于非法用途以及盈利等目的,也禁止未经允许私自修改打包进行发布,否则后果自行承担并将追究其相关责任!Windows安装蚁剑中国蚁剑从V2.0.0-beta版本开始,引入了加载器。用户/开发者只需要下载对应平台的加载器,无需安装额外的环境,即可对源代码进行编译/执行/调试等...
2018-11-02 19:05:11
3792
1
原创 谷歌注入搜索
nurl:asp?id=inurl:Article_Print.asp?inurl:EnCompHonorBig.asp?id=随便加个数字inurl:showproduct.asp?id=随便加个数字inurl:ManageLogin.aspinurl:EnCompHonorBig.asp?id= 随便加个数字inurl: (asp?=数字) inurl: (php?=数字)inu...
2018-11-02 14:53:56
24829
原创 Ubuntu更新软件
常用命令apt-get update获得最近的软件包的列表,列表中包括一些包的更新,比如这个包是否更新过,在换源后一定要做。apt-get upgrade进行安装包的更新(软件版本的升级)apt-get dist-upgrade进行系统版本的升级(Ubuntu版本的升级)do-release-upgradeUbuntu官方推荐的系统升级方式,若加参数-d还可以升级到开发版本,但会...
2018-10-31 17:25:05
264
原创 Kail 系统——SSH进行远程登录(用户和密码正确,但是登录不上)
安装SSH服务1、查看系统中有没有安装SSH输入下面的命令:root@kali:~# ssh localhost若显示下面信息,则没有安装ssh: connect to host localhost port 22: Connection refused2、安装SSH服务SSH分客户端openssh-client和openssh-server。如果你只是想登陆别的机器的SSH...
2018-10-30 20:19:55
12655
1
原创 Kail 系统——设置打开终端的快捷键
1、新装的kail系统,右键没有终端,每次都要用鼠标点,很不习惯,设置一个快捷键2、鼠标右键 Settings(设置)-> Keyboard(键盘) ->Add Custom Shortcut(自定义快捷键)3、设置快捷键,如:CTRL + ALT + T,单击添加。4、接下来就可以使用快捷键CTRL + ALT + T,启动终端了...
2018-10-30 11:25:54
905
原创 Kali 系统——设置中文字体
因为kali是基于Debian的,那么得用Debian的汉化过程1、重新配制安装的软件包root@kali:~# dpkg-reconfigure locales2、选择字符编码把下面的三个选择上(按空格键选择),其余取消选择,table 键选择 ok即可字符编码:en_US.UTF-8、zh_CN.GBK、zh_CN.UTF-83、选择字符选择字符:zh_CN.UTF-84、...
2018-10-29 18:41:46
12442
7
原创 C语言基本运算符
几大基本运算符赋值运算符算术运算符关系运算符逻辑运算符位运算符赋值运算符单等号=计算顺序:从左往右例如:double salary = 3200.0;double total = salary *2;char sex = ‘F’;int score =98;#include <stdio.h>int main() { //复合运算符 int ...
2018-10-27 10:56:02
3561
原创 变量与数据类型
计算机内存计算机使用内存来记忆或存储计算时所使用的数据。计算机执行程序时,组成程序的指令和程序所操作的数据都必须存放在某个地方,这个地方就是计算机的内存,也就是主存(main memory)或随机访问存储器(random Access Memory,RAM)bit(位) binary digit(二进制数字)。什么是变量变量变量是计算机中一块特定的内存空间由一个或多个连续的字...
2018-10-25 11:24:28
252
1
原创 初始C语言
程序的来源生活中的”程序“:通常指完成某些事务的既定方式和过程 。计算机中的“程序”:指的是为了让计算机处理某些事情,而编写的一系列有序指令的集合。什么是算法通俗而言,算法是一个明确的计算过程,可以以一些值或一组作为输入并产生一些值或一组作为输出。因此算法就是输入转为输出的一系列计算步骤。枚举法(穷举法)迭代法递归法流程图流程图是算法的一种图形表示一种图形化表示方式。...
2018-10-25 10:48:58
172
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人