- 博客(32)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 使用Fiddler插件X5S寻找XSS漏洞
跨站脚本是 OWASP 十大威胁中的一个。这种漏洞允许攻击者注入恶意代码。应用程序中任何用于可输入的位置,都有可能发现这种问题。如果网站存在XSS漏洞,攻击者就可以向常规用户注入恶意脚本。XSS漏洞可以用于偷取会话id,也可以劫持处于活动状态的用户会话。 网站开发人员必须测试网站是否容易受到此类攻击。他们需要验证输入,处理输出。为了找到网站上的XSS漏洞,他们也会使用各种可用的扫描器去
2014-05-31 21:28:01
3698
1
原创 sqli-labs
Less-1.GET - Error based - Single quotes - StringLess-2.GET - Error based - Integer basedLess-3.GET - Error based - Single quotes with twist - stringLess-4.GET - Error based - Double Quotes - St
2014-05-31 14:08:11
1640
原创 sqli-labs ---- Less-8 & Less-9 & Less-10
引用 OWASP - Blind SQL Injection 简介:Blind SQL (Structured Query Language) injection is a type of SQL Injection attack that asks the database true or false questions and determines the answer based
2014-05-31 12:46:04
2117
原创 sqli-labs ---- Less-7
Errcode: 13 说明写入文件失败,主要原因是因为Apache权限为www-data,而目录的权限是root。(Apache无写入权限).测试将文件写入系统临时目录,如下所示(已经写过一边,所以提示文件已存在):Less -7 实际应用如下所示:对文件进行访问时,一定要确认具备相应的权限。
2014-05-31 12:40:42
2599
1
原创 sqli-labs ---- Less-5 & Less-6
在过去的日子里,我们利用https://github.com/Audi-1/sqli-labs,讨论了SQL注入的不同类型。最新发布的内容见地址。现在,我们将回顾之前的SQL注入内容,并讨论基于错误显示的二阶查询注入,有时候又称子查询注入。有些人喜欢称其为盲注,但是我喜欢称其为显错注入,因为接下来我们会通过错误来获取信息。接下来的内容会如第一部分那样,继续采用分类方案,接下来的内容会以
2014-05-31 11:41:45
2965
1
原创 sqli-labs ---- Less-1 & Less-3 & Less-4
[地址]: https://github.com/Audi-1/sqli-labs
2014-05-30 18:11:22
1672
原创 mysql -- outfile/dumpfile/load_file
mysql> select User,Password from mysql.user;+------------------+-------------------------------------------+| User | Password |+------------------+--
2014-05-30 08:46:17
2326
原创 python -- windows 键盘记录
#!/usr/bin/env pythonimport pythoncomimport pyHookdef onMouseEvent(event): # print dir(event) return Truedef onKeyboardEvent(event): for i in dir(event): if i[0] != '_':
2014-05-28 16:08:17
1197
原创 linux -- xinput 输入设备管理
xinput list⎡ Virtual core pointer id=2 [master pointer (3)]⎜ ↳ Virtual core XTEST pointer id=4 [slave pointer (2)]⎜ ↳ SynPS/2 Synaptics TouchPad
2014-05-27 20:09:39
9731
原创 python -- 获取 bing 查询结果
#!/usr/bin/env pythonimport timeimport urllib2from lxml import etreefrom urllib import urlencodefrom optparse import OptionParserclass search(object): def __init__(self): self.re
2014-05-26 14:26:44
4598
原创 python -- ConfigParser
开始xue[db]db_host = 127.0.0.1db_port = 22db_user = rootdb_pass = password[misc]timeout = 8thread = 10
2014-05-19 17:12:01
806
原创 python - super
http://stackoverflow.com/questions/9698614/super-raises-typeerror-must-be-type-not-classobj-for-new-style-class-----------------------------------------------------------------------#!/usr/bin/e
2014-05-17 19:18:48
730
转载 python -- md5 破解
#!/usr/bin/env python# https://github.com/ikkebr/PyBozoCrackfrom optparse import OptionParserfrom urllib import FancyURLopenerimport hashlibimport reHASH_REGEX = re.compile("[a-fA-F0-9]{32}")
2014-05-16 22:32:41
1919
原创 python -- 密码生成器
代码可能写的特别粗糙, 请自行优化.#!/usr/bin/env pythonimport itertoolsimport stringimport sysdef usage(): print "Password generator - v1.0 " print "\t%s [type] [length]" % sys.argv[0] print "\
2014-05-16 18:07:57
975
原创 Python -- yield
http: //www.ibm.com/developerworks/cn/opensource/os-cn-python-yield/-------------------------------------------------------------------------------------------------------您可能听说过,带有 yield 的函数在 Py
2014-05-14 13:10:50
713
原创 python -- property()/@property
https://docs.python.org/2/library/functions.html?highlight=property#property
2014-05-14 09:23:28
806
原创 python -- getattr
https://docs.python.org/2/library/functions.html?highlight=getattr#getattr
2014-05-13 19:39:13
761
转载 python -- type/isinstance
http://stackoverflow.com/questions/1549801/differences-between-isinstance-and-type-in-python
2014-05-13 10:27:19
598
转载 scrapy - 3.items
Items¶爬取的主要目标就是从非结构性的数据源提取结构性数据,例如网页。Scrapy提供 Item 类来满足这样的需求。Item 对象是种简单的容器,保存了爬取到得数据。其提供了类似于词典(dictionary-like) 的API以及用于声明可用字段的简单语法。声明Item¶Item使用简单的class定义语法以及 Field 对象来声明。例如:
2014-05-09 14:01:22
718
转载 scrapy - 2. 命令行工具
命令行工具(Command line tools)¶0.10 新版功能.Scrapy是通过 scrapy 命令行工具进行控制的。这里我们称之为 “Scrapy tool” 以用来和子命令进行区分。对于子命令,我们称为 “command” 或者 “Scrapy commands”。Scrapy tool 针对不同的目的提供了多个命令,每个命令支持不同的参数和选项。默认的S
2014-05-09 13:52:29
1093
原创 scrapy - tutorial
Install------------------------------------------------------------------sudo pip install libxml2-dev libxslt1-dev lxml libffi-devgit clone git://github.com/scrapy/scrapy.gitcd /path/to/scrapy/sudo python setup.py install
2014-05-08 13:04:05
1299
原创 Python -- Make vim as a python IDE
root@gnu:~# git clone https://github.com/gmarik/Vundle.vim.git ~/.vim/bundle/Vundle.vimInitialized empty Git repository in /root/.vim/bundle/Vundle.vim/.git/root@gnu:~# vim ~/.vimrc root@gnu:~# vi
2014-05-05 21:26:24
2254
转载 strcmp 安全问题
<?php/*int strcmp ( string $str1 , string $str2 )Returns < 0 if str1 is less than str2; > 0 if str1 is greater than str2, = 0 if they are equal.http: //danuxx.blogspot.com/2013/03/unauthor
2014-05-05 09:42:58
5439
原创 [分析]-DedeCMS全版本通杀SQL注入漏洞
mysql> SELECT s.*,t.* FROM -> `dede_member_stow` AS s LEFT JOIN -> `dede_member_stowtype` AS t ON s.type=t.stowname -> WHERE s.aid='1' -> AND s.type='\\' or mid=@`\\'` /*!50000unio
2014-05-04 16:15:59
5717
转载 php ---- 文件遍历
<?php // filetypes you want to search $FILETYPES = array( // filetypes to scan '.php', '.inc', '.phps', '.php4', '.php5', //'.html', //'.htm', //'
2014-05-04 10:04:31
588
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人