- 博客(155)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 利用python脚本根据DOI号自动查询参考文献信息
背景: 某人写了一篇论文,需要将参考文献信息内容查询出来,第一步,就是利用人名及年份查询所引用的文献或者文章及文章的doi,如果没用,也可也复制文章在百度里面查找,第二步,拿到doi号在网址里面查询如此往复,如果文章引用超过100jiao多,如此重重,无聊,而且易出错,接下来,我们利用python 编写脚步,自动查询,然后把值保存在txt里面步骤:...
2019-09-22 18:54:40
16045
原创 使用mitmproxy自动抓http,https接口
官网地址: https://mitmproxy.org/github地址: https://github.com/mitmproxypypi地址: https://pypi.org/project/mitmproxy/1. 普通安装使用 pip3 install mitmproxy2、设置浏览器代理,端口8080,也可自定义火狐浏览器谷歌浏览器3、后台启动,...
2019-09-18 19:23:19
11467
原创 利用python进行企业微信机器人自动发送消息
def test_004_robot(self): headers = {"Content-Type": "text/plain"} s="卖品,打印码:{},验证码{}".format({str(printCode)},{str(verifyCode)}) data = { "msgtype": "text", "text": { "...
2019-06-18 19:23:43
40418
12
原创 python 编写输出到csv
def test_write(self): fields=[] fields.append(orderCode) with open(r'./test001.csv', 'a',newline="") as f: writer = csv.writer(f) writer.writerow(fields)定义一个列表:然后将需要写的数据添加到列表a #追加数...
2019-06-18 16:50:47
19603
转载 Python中函数和方法的区别
简单总结:与类和实例无绑定关系的function都属于函数(function); 与类和实例有绑定关系的function都属于方法(method)。首先摒弃错误认知:并不是类中的调用都叫方法函数(FunctionType)函数是封装了一些独立的功能,可以直接调用,能将一些数据(参数)传递进去进行处理,然后返回一些数据(返回值),也可以没有返回值。可以直接在模块中进行定义使用。...
2019-04-28 21:48:23
38380
4
转载 应用安全测试技术DAST、SAST、IAST对比分析-持续更新
应用安全测试技术DAST、SAST、IAST对比分析-持续更新 版权来源:安全牛首发文章,本文仅补充完善。 一、全球面临软件安全危机 我们即将处于一个软件定义一切的时代,这是 “一个最好的时代,也是一个最坏的时代”。 无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。然而,软件技术在促进社会发展的同时,也可能因为漏洞问题危害人们的个人隐私信息、...
2021-11-24 16:46:15
769
转载 安全-系统上线安全检查规范
现在各个公司都开始重视安全,不仅仅是因为国家开始重视安全,而是安全漏洞一旦暴露,被有心之人发现进行破坏,损失将无法估量;比如:前端时间拼多多优惠券事件… 安全测试是一项比较重要的测试项,但是在测试之前,安全规范之类也应该有所了解,今天来说说上线安全检查规范: 在业务系统发...
2021-11-24 16:43:55
1751
转载 安全-开源项目安全检查规范
有些公司为了提高在IT圈的技术知名度,增加行业影响力,一些技术会定期将非核心业务源代码以公司级名义上传到源码开源平台,如GitHub。特此输出相关的安全检查规范 第一条 开源的代码项目可以为通用的解决方案,禁止将公司业务相关的核心代码...
2021-11-24 16:42:21
506
转载 适用所有公司的安全测试用例
现在对测试的人员要求越来越高,纯手工测试即功能测试已经不满足企业的需求,测试需要了解更多的技术领域,比如安全,作为一个非专业安全测试人员,如何进行安全测试呢? 特整理出功能测试同学可以发现的安全问题,如下: </...
2021-11-24 16:40:59
264
转载 [web安全]burpsuite抓取微信公众号、小程序数据包
最近在接触微信公众号和微信小程序的渗透,用过模拟器,也直接在手机上设置代理,都遇到各种问题,用起来很不舒心。记录遇到的一些问题,帮助和我一样踩过坑的,亲测好用。IE浏览器设置代理在IE浏览器右上角点击【设置】->【Internet选项】->【连接】->【局域网设置】,勾选代理服务器并设置相应的ip和端口,并点击确定burpsuite设置代理打开burp点击【proxy】->【options】->【add】,添加刚刚在IE浏览器设置的ip和端口,记得需要打上勾,
2021-11-05 14:06:31
9054
2
转载 Fortify--安装与使用
Fortify是Micro Focus旗下AST (应用程序安全测试)产品,其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Center是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效.
2021-09-26 11:06:16
7474
5
原创 Web信息安全-文件上传漏洞防御
原理假如服务器环境是php,用户更新头像,却上传一个php文件,再去访问这个php文件路径,这个php文件就在服务器运行了。攻击者就可以获取服务器的信息、删除文件等等攻击演示启动DVWA, 进入File Upload 新建一个文件1.php, 内容为<?php phpinfo(); ?> 将文件上传,拿到地址去访问刚刚上传的文件http://127.0.0.1/dvwa/hackable/uploads/1.php...
2021-06-10 15:58:35
1790
2
转载 WIN10安装MySQL出现错误2503 2502 的解决办法!
1. 打开任务管理器:Ctrl+Alt+Del。2. 点击任务管理器左上角的文件按钮:3. 再点击 运行新任务(n)按钮。4. 手动输入所下载的MySQL安装文件的地址+文件名。比如我放在D:\MySQL文件夹里,文件名为:mysql-installer-web-community-5.7.21.0.msi,就输入:D:\MySQL\mysql-installer-web-community-5.7.21.0.msi,务必要打上 下面的勾。...
2021-04-27 15:52:08
3623
转载 浏览器存储那些事
随着移动网络的发展与演化,我们手机上现在除了有原生 App,还能跑“WebApp”——它即开即用,用完即走。一个优秀的 WebApp 甚至可以拥有和原生 App 媲美的功能和体验。WebApp 优异的性能表现,有一部分原因要归功于浏览器存储技术的提升。cookie存储数据的功能已经很难满足开发所需,逐渐被Web Storage、IndexedDB所取代,本文将介绍这几种存储方式的差异和优缺点。一、cookie1.cookie的来源cookie 的本职工作并非本地存储,而是“维持状态”。因为HTT
2021-03-31 14:05:26
1778
转载 web网络安全
前言如今人们的生活已经离不开网络,每天都有大量的信息通过web页面进入每个人的视线,那么web网路安全就显得尤为重要。正文web网络安全,主要由三个方面来保障:同源策略 预防xss攻击 预防csrf攻击接下来我们一个一个详细讲解。同源策略同源策略,作为一个前端工程师,应该是必备知识。大多数人接触到同源策略都是在和后端交互发送Ajax请求,发生跨域时。那你知道什么是同源策略么?实际上同源策略还有其他两个层面,你知道嘛?什么是同源策略我们首先了解下一个URL地址的组成部分。
2021-03-31 11:23:30
3883
转载 Web安全基础
安全简史Web1.0 服务端动态脚本的安全问题,比如将一个可执行脚本上传到服务器上,从而获得权限。Web2.0 Web攻击思路从服务器端转向客户端,转向了浏览器和用户,例如XSS、CSRF攻击浏览器安全浏览器是互联网的重要入口,在安全攻防中,浏览器的作用不可忽视同源策略同源策略是一种约定,它是浏览器最核心也是最基础的安全功能。同源指的是指URL的协议、域名、端口相同举个例子:当前URLhttp://www.example.com/index.htmlURL 结果
2021-03-30 17:23:34
1819
转载 从密码到token, 一个授权的故事
1. 我把密码献给你小梁开发了一个“信用卡管家”的程序 , 可以自动从邮箱中读取信用卡相关邮件,分析、汇总,形成一个报表。小梁找到信用卡达人张大胖试用 : “你的信用卡那么多,看看我这个程序吧, 保准你会爱死它。”张大胖尝试了几下说: “咦,你这个程序要读取我的网易邮箱啊,那需要用户名/密码吧”“是啊 , 你把密码告诉输入程序不就行了, 我的程序替你加密保存,保证不会泄露。”“得了吧你, 我可不会告诉你我的密码, 为了方便记忆, 我的密码都是通用的, 万一...
2021-03-30 15:47:58
1894
转载 这些Burp Suite渗透神器的功能,你会用吗?
在上⼀遍⽂章《这份渗透神器Burp Suite使用指南,送给作为新手的你!》中,给⼤家介绍了Burp Suite的安装以及目标模块、代理模块、爬⾍模块。在这篇⽂章中,我们再介绍关于Burp Suite的其他模块以及使⽤⽅法。1. 扫描功能扫描模块⽤于⾃动检测漏洞,分为主动扫描和被动扫描。Burp Suite可以对某⼀个URL或者全站进⾏扫描。如果只需要扫描某⼀个单⼀Web⻚⾯,我们可以通过Intercept将拦截到的请求执⾏"Do an activescan",具体操作如下图...
2021-03-30 15:00:22
1886
转载 成为全站最靓仔,你只需⼀步 GetShell !
1. 越权漏洞简介在笔者⼼中,逻辑漏洞中最为神秘且强⼤的漏洞,便是越权访问漏洞——⼀个强⼤到若存在,则⼀个普通⽤户也可以控制整个⽹站⽤户数据的漏洞。越权漏洞的形成,主要是因为开发⼈员在对数据进⾏增、删、改、查询时,对客户端请求的数据过分相信⽽遗漏了权限的判定。所以,测试越权就是和开发⼈员拼细⼼的过程。2. 越权漏洞的危害想想看,⼀个普通的⽤户,例如⼀名⿊帽⼦(⿊客)去注册⼀个⽹站最为普通权限的⽤户,该名⿊客发现⽹站存在越权访问漏洞,此时通过纵向越权控制⽹站数据的修改查...
2021-03-30 14:36:43
1742
转载 别一不小心就被它“钓”了!(XSS跨站脚本攻击)
1.XSS介绍跨站脚本攻击,英⽂全称是Cross Site Scripting,为了和前端编程语⾔CSS(Cascading Style Sheet,层叠样式表)有所区别,所以缩写为XSS。XSS是基于客户端的Web攻击,跟SQL注⼊攻击⼀样稳居OWASP前三,危害极⼤。XSS即攻击者构造脚本(⼀般是JavaScript脚本)注⼊到Web⻚⾯,受害者通过点击链接即被攻击。攻击者利⽤XSS代码攻击成功后,可以得到Web站点的管理权限、数据库管理权限、会话和cookie等各种内容。...
2021-03-30 14:04:40
1774
转载 DVWA 1.9 通关秘籍
DVWA (Dam Vulnerable Web Application) DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。本次我们测试使用的是Version 1.9 (Release date: 2015-09-19)。 今天我们首先完成的是low,也就是最简单的,其后我们会不断提高难度完成所有难度的挑战。在挑战的过程中我们会分析程序的源代码,了解漏洞产生的原理及简单的修复方案。 ...
2021-03-18 17:45:28
1972
转载 扫盲贴-万能密码的原理
//连接数据库 $coon = mysql_connect('localhost','root','root') or die('Connect Error '.mysql_error()); mysql_select_db('sqlinjection',$coon) or die('Datebase Error '.mysql_error());//构造查询语句 $query="SELECT * FROM user WHERE username='".$_GET["username"].".
2021-03-18 15:43:48
5459
原创 Burp Suite拦截不到127.0.0.1的数据不能拦截localhost的问题
背景,自己本机搭建了一个DVWA靶场,需要演示练习,但是设置好后无法拦截到请求burp Suite的工作流程是浏览器访问某个站点,先将发送给服务器的请求发送给Burp Suite处理。由Burp Suite来决定是发送这个请求还是修改或者拦截这个请求。Burp Suite默认监听的是本地(localhost或者127.0.0.1)的8080端口(如果端口被占用,可以修改),必须要让浏览器所有的数据包都经过127.0.0.1:8080。但是不代理本机地址也就是127.0.0.1解决办法:将本地
2021-03-17 17:31:50
3372
转载 业务安全漏洞挖掘归纳总结
http://www.360doc.com/showweb/0/0/967440239.aspx0x01身份认证安全1暴力破解在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。简单的验证码爆破。URL:http://zone.wooyun.org/content/20839一些工具及脚本BurpsuitehtpwdScan撞库爆破必备URL:https://github.com/lijiejie/ht..
2021-03-17 15:25:38
2141
转载 重放攻击
机A要给主机B发送报文,中间重放攻击的主人可以是A,或者是攻击者C:当是A时,表示A会重复发送相同的报文给B,:当是C时,表示C截获了A发送给B的报文,然后再伪装成A给B发送其截获的报文重放攻击的含义:主机A给主机B发送的报文被攻击者C截获了,然后C伪装成A给B发送其截获来的报文,而B会误以为C就是A,就把回应报文发送给了C。虽然A是加密的,但C根本不用破译。实例分析:登录验证登录验证的基本流程:(4步)1,前端: 用户输入账号,密码,然后登录2,用户在发...
2021-03-17 14:25:55
2655
原创 前端加密
1.1 前端js加密概述对系统安全性要求比较高,那么需要选择https协议来传输数据。当然很多情况下一般的web网站,如果安全要求不是很高的话,用http协议就可以了。在这种情况下,密码的明文传输显然是不合适的,因为如果请求在传输过程中被截了,就可以直接拿明文密码登录网站了。HTTPS(443)在HTTP(80)的基础上加入了SSL(Secure Sockets Layer 安全套接层)协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。传输前用公钥加密,服务器端用私钥解...
2021-03-17 13:36:51
2302
转载 从前端对帐号密码加密,就可以防止自动化破解了吗?Nodejs一例破解测试,告诉你真像!
有的Web安全防护产品,为了防止帐号密码被自动化工具攻击、破解,采用了一种技术手段:对网页中的帐号密码,甚至是cookie,进行加密,然后再传输。希望以此加密传输,达到安全防护、防破解的目的。这样做真的有效吗?一步步来看:比如下面抓取到的一段传输数据为例:防护是什么效果?POST /login/ HTTP/1.1Host: 192.168.80.131User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:59.0) Gecko/201
2021-03-17 13:10:55
2246
转载 文件上传漏洞
什么是文件上传漏洞?文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。文件上传漏洞本身就是一个危害巨大的漏洞,WebShell更是将这种漏洞的利用无限扩大。大多数的上传漏洞被利用后攻击者都会留下
2021-03-16 17:49:29
2426
转载 路径与敏感信息发现
路径与敏感信息发现概述一般网站主站信息都比较少,我们需要在渗透测试过程的信息搜集阶段,我们可能会自动化工具获得来网站其他路径如:后台、其他未授权访问路径,扫描得到敏感文件的路径,从而找到敏感数据。根据路径爆破工具进行使用与测评分析工具的特点,批量访问发现的路径查找敏感路径。工具爬虫扫描得到敏感文件的路径,找到敏感数据。使用爆破工具进行破解参考工具:dirsearch:https://github.com/maurosoria/dirsearchOneForAll:https://github.com/
2021-03-10 15:39:26
2700
转载 彻底明白ip地址,区分localhost、127.0.0.1和0.0.0.0
通俗的了解IP地址是什么对于IP地址,大家并不陌生,特别是在网络访问中我们会经常使用到(平时对域名如百度的www.baidu.com的访问,本质就是对域名所绑定的IP地址的访问),那么IP地址是什么呢?首先,我们要知道网络中的相互访问其实就是在进行两者间的数据传递。就如同送快递一样,快递发出只有知道你的住址信息,才能将快递送到你的手中。而在网络访问时,只有知道你在网络中的地址信息,才能将数据发送到你的设备上。所以,IP地址就是你在网络中的地址信息。与你现实地址不同的是,你的现实地址使用文字表示,而你
2021-03-03 14:06:00
2652
原创 作为一个网民,您要知道这些https知识
当我们在浏览器访问一个网站时,我们会发现,网站的域名不是以 http 开头,就是以 https 开头。https 协议是由 SSL+http 协议构建的可进行加密传输、身份认证的网络协议,https 开头的网站,从客户端到服务端传输的信息是加密了的,不会被第三方窃取的。但传统的 http 网页是以明文传输的,不法分子很容易就能从中间窃取数据。作为一个网民,您要知道这些 https 知识。1,拒绝在任何没有 https 的网站上输入任何信息在没有 https 的网站输入的信息是明文传输的,很容易被不法
2021-02-18 18:46:39
2007
1
转载 HTTPS站点不安全?SSL证书不做背锅侠
SSL证书在保护网站数据传输上起到了至关重要的作用,它的存在让网站访问者在访问浏览器时留下的信息和数据不被窃取、篡改和监听,让访客们访问网站时非常放心、非常安心,使网站由明文传输式的http变成数据加密的https站点。但是用户们却发现,在访问一部分https站点时,浏览器依旧会提示不安全,难道是 SSL证书的问题吗,是不是 SSL证书已经不能很好地保护我们的安全了呢?环度小编总结了以下几方面的原因。1,SSL证书与网站域名不匹配这种情况通常是您申请的SSL证书书类型与域名不匹配,如果您个人网站申请
2021-02-18 18:00:05
2444
转载 代码签名证书有什么用?
平时我们下载安装软件时,有的会出现风险提示,警告之类的,如下图所示: 原因就是该软件没有代码签名证书,导致系统不能识别该软件的身份。并且,有的软件甚至会夹杂恶意信息,给终端用户带来风险。代码签名证书,顾名思义,就是软件开发商用来给开发的软件签名的证书。通过对代码数字签名来标识软件来源,记录软件开发者的真实身份,保证代码在签名之后,不被篡改。当用户下载已经签名的代码时,计算机自动验证该代码的可信性,并且提示用户可以放心下载和使用!总之,代码签名证书就是让您的用户放心确信此代...
2021-02-18 17:49:33
2113
转载 网站从http迁移到https的10个步骤
为了使互联网成为更安全的地方,谷歌和其他浏览器对所有未加密的http网站标记为“不安全”,这意味着https加密不再是奢侈品,而是必需品。使用以下这些步骤来帮助您的网站从http迁移到https:1、评估网站的安全风险准备一个url列表,将它们从当前HTTP结构映射到HTTPS网站的相应位置,验证所有外部脚本和图像都可以使用HTTPS。2、执行完整的网站备份在对站点进行任何更改之前,请完成完整的备份。有关可用的备份选项,请咨询您的主机提供商或系统管理员。3、选择正确的SSL证书选
2021-02-09 14:56:08
3833
1
转载 网站怎样从http转化为https
传统的http是明文传输数据,没有经过任何加密保护,容易被黑客截取数据,缺乏安全性,而https是在http的基础上加入了SSL协议,可以使数据进行加密传输,相当于http的升级版,比http协议安全,因此,越来越多的网站选择部署SSL证书实现https加密。那么网站怎样从http转化为https呢?1、申请SSL证书网站要实现https加密,首先要申请SSL证书,申请SSL证书的步骤如下:CSR文件制作:申请SSL证书之前,需要制作CSR文件,可在我们环度网信CSR在线生成工具中生成CSR
2021-02-09 14:53:44
7753
转载 ca证书与ssl证书之间的关系与区别
CA证书,这是一种很笼统的说法,CA两字母代表Certificate Authority,就是证书授权中心的意思,也就是证书颁发机构可以简称为“CA”,那么“CA证书”通俗的理解就是数字证书机构签发的数字证书都可以称为“CA证书”。SSL证书,这是一种具体的 CA证书,是用于给域名或者 IP 实现 https 加密的 CA证书。那么两者关系就一目了然,“SSL证书”是一种 CA证书,但“CA证书”不仅仅指 SSL证书,它还可以包含代码签名数字证书,文档签名数字证书等等产品。但由于工作习惯..
2021-02-09 14:48:25
3675
原创 SSL证书有什么用,https 就是 ssl 吗?
SSL,也就是SSL证书,又叫服务器安全证书,或者https证书,SSL有什么用?以下几点帮您快速了解SSL证书的意义:1、SSL帮助网站、APP等实现数据传输的加密。这个说法对一般普通网民来说可能显得有点专业,举个例子:当您在某些APP或者网站上下单的时候,如果这些APP和网站没有部署SSL证书,那么您想这些网站或者APP提交的所有信息,包括姓名、电话、住址、商品内容、银行卡信息等等,都将是以一种 “裸奔”的方式在互联网中传输。2017年的315晚会中,就曾经现场演绎过个人信息如何被泄露。ht
2021-02-09 14:33:26
3510
转载 网址http和https在安全性上有很大区别
https与http有何不同?HTTP(Hyper Text Transfer Protocol)协议是一种超文本传输协议,用于在Web浏览器和服务器之间传输信息。 http协议以明文形式发送内容,它不以任何方式提供数据加密,并且在传输过程中很容易传输数据。 攻击者进行拦截,拦截和篡改,而用户填写的机密信息(例如帐户登录信息,密码和交易记录)很容易被黑客窃取,隐私信息非常不安全。而HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer.
2021-02-09 14:22:37
2764
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人