- 博客(20)
- 收藏
- 关注
原创 Discuz 搭建记录
访问 http://192.168.0.105/upload/ 进入安装界面。访问 http://192.168.0.105/phpinfo.php。访问 http://192.168.0.105。
2024-04-25 17:03:14 216 1
原创 burp 前端加密之 jsEncrypter 使用记录
顺便提一下,刚开始按照网上的一个教程走,它用的是。然后,就在上面那个目录下打开cmd,执行。
2024-04-10 15:45:45 162
原创 应用识别记录
产品文档:https://doc.tingyun.com/index.html。密码重置接口: /accounts/password/reset/登录接口: /accounts/login/?
2024-04-07 20:43:31 113
原创 HTTP header 学习记录
服务器在响应请求时,告知浏览器资源的最后修改时间。浏览器再次发送请求时,通过此header通知服务器在上次请求时所得资源的最后修改时间。服务器会将If-Modified-Since与被请求资源的最后修改时间进行比对。若资源的最后修改时间晚于If-Modified-Since,表示资源已被改动,则响最新的资源,返回200状态码;若资源的最后修改时间早于或等于If-Modified-Since,表示浏览器端的资源已经是最新版本,响应304状态码,通知浏览器继续使用缓存中的资源。ETag。
2024-03-30 17:55:24 146
原创 字符集与编码
但是注意127的二进制形式为1111111,我们发现这128个ascii字符的二进制存储根本用不到8个位,但是计算机最少存1个字节(8个位),因此人为的在ascii字符集的二进制编码前补0,所以首位为0也就是ascii字符集二进制编码的特性,剩下的7位则刚好可以表示128个字符。我们都知道计算机底层采用二进制的形式对数据进行存储,而计算机是美国佬发明的,美国佬需要用到哪些字符呢?,字符集有各自的编码方式!将字符对应码点,再将码点编码为二进制数据,这样就可以实现将ascii字符集全部存储到计算机当中。
2024-03-30 17:24:32 371
原创 Cookie 学习记录
cookie生效的范围,如果path设置为"/“就表示此cookie可以被所有页面访问,如果设置为”/login",则cookie只能被"/login"访问到,而"/resetPwd"无法访问到此cookie。如果设置为".target.com",则所有以"target.com"结尾的域名都可以访问该Cookie。如果maxAge为负数,则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该Cookie即失效。如果maxAge为0,则表示删除该Cookie。cookie过期时间。
2024-03-30 16:21:59 66
原创 目录fuzz记录(pub)
下的某个具体端点之前,就返回404,而对于其余确实存在的目录,开发可能并没有做这样的配置。的响应为404,并不代表web server会对所有确实存在的目录都返回404,有可能。返回200响应码,但body是一个404页面;较为特殊,开发设置了在没有访问到。存在,但web server对。302跳转至某个统一的页面;得到的响应可能不同。
2024-03-24 11:38:52 268
原创 加密知识学习记录
比如,DES算法,采用一个64位的密钥,如果采用该模式加密,就是将要加密的数据分成每组64位的数据,如果最后一组不够64位,那么就补齐为64位,然后每组数据都采用DES算法的64位密钥进行加密。多次执行上面两段代码会发现第一段代码获得的加密值每次都在改变,而第二段代码获得的加密值是不变的,按理说,ECB模式下,同一个密钥,若原文相同,则密文必定相同。什么原因导致第一段代码每次获得的密文都不同呢?需要注意的一点是,如果明文数据长度刚好是分组长度的整数倍,按Pkcs7规则,仍需填充一个分组长度的数据,比如,
2024-03-21 15:24:44 606
原创 JWT Vuls 学习记录
jwt = header.payload.signature,其中header和payload经过base64编码得到,signature由header和payload经过加密运算得到,加密算法由header中的alg字段指定。Header中的一些字段Payload中的一些字段JWT的作用是防止数据被篡改,根据JWS规范,其中只有alg标头参数是强制的。
2024-03-19 16:40:27 730 1
原创 Enagement Tools 之 Discover content 使用记录
总结:可以用来fuzz目录、文件,但是建议要精细化地fuzz,何为精细化呢?打个比方,fuzz某个文件夹下的某种类型的文件就比fuzz整个domain要精细化得多。,采用的fuzz字典为3000,那么这个工具的发包量就至少是12000了!所以要结合分析去fuzz!
2024-03-12 13:46:22 141
原创 kali安装wpscan记录
最开始使用阿里的apt源执行apt install wpscan,安装过程中报出有几个包无法安装的错误!不出所料,最后安装好的wpscan无法使用!(2)执行如下命令,wpscan安装成功。(1)更换kali的官方源;
2024-03-11 12:44:04 205
原创 XSS前端防御
这篇文章是在挖掘xss漏洞时,自己总结来的,废话不多说,直接步入正题。我们在挖掘xss漏洞时,有时候会发现服务端并未对我们输入的任何特殊字符过滤、编码和转义,比如,但是,这种一般就是前端的杰作了!
2024-02-19 23:45:58 292
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人