Websec

原创 记一次爬虫小练习

0x01：目标是猫眼电影，对网页爬虫的基本步骤如下0x02:点击我们目标的url，可以看到主url是http://maoyan.com/board/4，我们点击下一页，其url为http://maoyan.com/board/4?offset=10，可以发现只是多增加了一个offset偏移参数。继续分析我们要爬取的东西，我们主要是爬取这些电影的信息，比如排名，链接，主演信息等，这个我们只需要构造合...

转载 pycharm激活

第一种:破解补丁激活(永久哈)0x01:下载 http://idea.lanyus.com/jar/JetbrainsCrack-2.7-release-str.jar 并将 JetbrainsCrack-2.7-release-str.jar 放置到安装pycharm的同级目录下G:/python知识/python开发工具0x02：在 Pycharm安装目录的\bin目录下找到 pycharm....

原创 安卓apk渗透思维导图

原创 硬编码与软编码

硬编码:百度百科是这样说的:在计算机程序或文本编辑中，硬编码是指将可变变量用一个固定值来代替的方法。用这种方法编译后，如果以后需要更改此变量就非常困难了。大部分程序语言里，可以将一个固定数值定义为一个标记，然后用这个特殊标记来取代变量名称。当标记名称改变时，变量名不变，这样，当重新编译整个程序时，所有变量都不再是固定值，这样就更容易的实现了改变变量的目的。尽管通过编辑器的查找替换功能也能实现整个变...

转载 前端黑魔法之远程控地址控制栏之钓鱼攻击

原文来自：https://www.leavesongs.com/PENETRATION/use-target-to-spoof-fishing.html参考文章：https://paper.seebug.org/538/今晚刚好关注了某个大牛的博客，看到第一篇文章的时候就涨知识了，这个原理值得我们学习，顺便就拿到这里来分享一波啦0x01：效果图如下：地址：http://675ba661.2m1.p...

原创 初识XXE漏洞

0X01:何为XXE漏洞？XXE是指xml外部实体攻击0x02:那么xml是什么？xml实体攻击是什么？XML百度是这样子的:可扩展标记语言，标准通用标记语言的子集，是一种用于标记电子文件使其具有结构性的标记语言。在电子计算机中，标记指计算机所能理解的信息符号，通过此种标记，计算机之间可以处理包含各种的信息比如文章等。它可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言...

原创 任意文件下载漏洞

可参考文章:https://www.secpulse.com/archives/68522.html漏洞介绍:很多网站由于业务需求，往往需要提供文件(附件)下载的功能块，但是如果对下载的文件没有做限制，直接通过绝对路径对其文件进行下载，那么，恶意用户就可以利用这种方式下载服务器的敏感文件，对服务器进行进一步的威胁和攻击。漏洞存在的地方:系统中存在文件(附件/文档/图片等等资源)下载的地方。漏洞的危...

原创 任意文件上传getshell

漏洞描述:任意文件上传顾名思义就是在文件上传的地方能够上传任意类型的文件，我们可以上传恶意木马文件对其服务器进行攻击。漏洞寻找:通过查看文件上传的地方，通过burpsuite抓包分析其上传点对其文件类型是否做了限制，也可能只是做了前端限制，但是这个都不要紧，直接绕过就行漏洞修复建议:1.文件上传的地方，我们需要对其文件格式做白名单限制，只允许我们需要的文件进行上传即可2.对文件格式进行校验，前端以...

原创 忘记密码处中任意修改密码的6种策略

1、任意用户密码修改漏洞（方式一）漏洞等级：高危漏洞简要描述：修改任意用户账号的密码实现越权登录漏洞大类：重要业务的越权访问修复建议：勿将手机端验证码直接发送到客户端,不应该使用客户端验证，应该使用服务器端对其进行验证，手机验证码应该设置为6位。漏洞详情:只要知道用户的账号即可越权登录0x01:进入网站登录界面->输入已知的用户名，输入错误的手机号，正确的验证码，burpsuite抓包，放到...

翻译 初识Matplotlib库

介绍Matplotlib 可能是 Python 2D-绘图领域使用最广泛的套件。它能让使用者很轻松地将数据图形化，并且提供多样化的输出格式。这里将会探索 matplotlib 的常见用法。IPython 以及 pylab 模式IPython 是 Python 的一个增强版本。它在下列方面有所增强：命名输入输出、使用系统命令（shell commands）、排错（debug）能力。我们在命令行终端给...