think_ycx的专栏

沉淀知识

jsonp劫持

基础: 说说JSON和JSONP,也许你会豁然开朗,含jQuery用例     JSONP 安全攻防技术 【技术分享】JSONP注入实战指南  案例: payload: $.ajax({type:"get",url:"http://o2o...

2017-01-31 15:24:29

阅读数 2266

评论数 0

sqlmap基于时间盲注判断原理

Sqlmap根据基于时间的盲注技术来检测注入点,不需要依赖具体的sleep(n) n的大小,而是判断上次请求的响应时间是否在预期之内,不在则认为产生了时延,存在注入点。 并且采用了数学的方法, 将判断的概率控制在相当高的一个概率之内。 检测的思想具有很好的学习价值。

2016-08-01 10:54:01

阅读数 5270

评论数 0

sql注入进阶学习资料汇总

sql注入资源汇总

2016-07-28 22:36:22

阅读数 297

评论数 0

sqlmap payload简单分析(B E T U S)

sqlmap payload简单分析(B E T U S)前言为了让大家看的更清楚,提供本文下载链接吧:下载地址 本文介绍sqlmap在各个场景中的payload格式,简单分析判断的的原理,也是自己学习过程中的记录。在看本文前,建议看一下drops中的其它文章,源码分析,对-v 3 参数显示出来...

2016-05-19 14:55:51

阅读数 8462

评论数 0

30分钟入门正则表达式 学习笔记

原文 有一个问题,在此记录: 在负向零宽断言里面,匹配q后面不是u的单词。 使用 \b\w*q(?!u)\w*\b 不能解决 qsqu这种情况。 即qs已经消耗了负向零宽断言,但是仍然存在qu的这种情况。   学习笔记: \b #元字符 只匹配一个位置 \bhi\b #精确查找hi这个...

2016-05-06 21:05:18

阅读数 597

评论数 0

一个wooyun正则

<th>([0-9\-]+)</th>[^<]*?<td><a href="([^&gt...

2016-05-05 23:24:14

阅读数 1086

评论数 0

php本地文件包含&远程文件包含

本地文件包含&远程文件包含

2016-04-07 12:49:04

阅读数 5633

评论数 0

sql注入——资源记录

整理&&总结

2015-12-06 22:42:58

阅读数 750

评论数 0

反射型xss偷取cookie(本地验证)

原理反射型xss 为危害之一就是:用户在登录的情况下点击了黑客发送的链接,就会导致该网址的cookie泄露,导致帐号被黑客登录。

2015-11-14 22:53:18

阅读数 1923

评论数 0

mysql常用sql语句

1.清空所有的元素(恢复主键id =1):truncate TABLE 2.更改主键自动更新值:ALTER TABLE 'table_name' AUTO_INCREMENT= 10000; 2015-12-2: 3.select 'abcdefg'  等价 select 0x4142434...

2015-09-21 22:18:25

阅读数 355

评论数 0

利用HTTP-only Cookie缓解XSS

原文地址 一、XSS与HTTP-only Cookie简介 跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚...

2015-08-15 01:17:28

阅读数 484

评论数 0

概念了解:CGI,FastCGI,PHP-CGI与PHP-FPM

原文地址   CGI   CGI全称是“公共网关接口”(Common Gateway Interface),HTTP服务器与你的或其它机器上的程序进行“交谈”的一种工具,其程序须运行在网络服务器上。 CGI可以用任何一种语言编写,只要这种语言具有标准输入、输出和环境变量。如php,per...

2015-08-14 22:07:13

阅读数 441

评论数 0

php+mysql 最简单的登录验证

最简单的登录验证。 之后可以不断完善,不断练习sql注入,xss等等。   <html> <body> <head><meta http...

2015-08-13 14:18:28

阅读数 3888

评论数 0

php+mysql 最简单的留言板

学完了记得动手操作。 测试地址(未过滤) <html> <body> <head><meta http-equiv="C...

2015-08-13 01:07:39

阅读数 2924

评论数 2

安全工程师主流技能

如何找到一份安全工程师的工作呢?

2015-05-14 13:37:00

阅读数 1624

评论数 0

php提示undefined index的几种解决方法

虽然可以通过设置错误显示方式来隐藏这个提示,但是这样也有隐患,就是在服务器的日志中会记录这些提示,导致日志文件异常庞大   平时用$_post[''],$_get['']获取表单中参数时会出现Notice: Undefined index: --------; 我们经常接收表单POST过来的...

2014-10-22 22:05:41

阅读数 462

评论数 0

手工注入

工具注入相信大家都会了,但用工具永远不会得到提高,所以我们还要学会手工注入,网站中使用最多的数据库类型就数ACCESS,SQL Server,MySQL这三个了,我们就以ACCESS为例子给大家讲解手工注入。 先找到一个类似http://www.xxx.com/xx.asp?id=xxx的URL...

2014-10-15 20:11:08

阅读数 564

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭