- 博客(8)
- 收藏
- 关注
RSS订阅原创 AttackAPI新手安装使用教程(傻瓜式)
一,attackapi的使用(增强xss理解和实践能力)1.attackapi获取:https://github.com/Cyb3rWard0g/Invoke-ATTACKAPI(github上一堆,注意:这里使用的是js脚本的attackapi)2.下载解压之后,看到tags目录,点开之后,选择attackapi-2.5.0a版本,看到有build.xml文件,一定要留意这个文件!!,我们要对它进行ant编译。3.ant下载地址:http://ant.apache.org/bindownloa
2020-12-01 10:22:21
1113
2
原创 蛮力破解登录框之根据响应判断用户名是否有效
第一步:尝试输入用户名和密码发现错误消息提示用户名或密码错误,无法判断用户名是否有效。第二步:使用burpsuite进行拦截登录请求,发送到Intruder用户名设置好payload,密码随意输入一个值。然后设置好结果显示错误消息。第三步:开始攻击发现有一个是不一样的,用户名是info。第四步:把用户名info作为有效用户名,进行密码爆破发现有一个302响应,说明密码是qazwax...
2020-11-23 19:14:35
185
原创 数据库select语句写入一句话木马遇到的问题
问题1:window服务器上,遇到了The MySQL server is running with the --secure-file-priv option so it cannot execute this statement错误。原因:my.ini配置文件没有secure-file-priv=,或者是secure-file-priv=NULL,有可能是secure-file-priv=某一文件路径。解决:配置文件添加:secure-file-priv=""问题二:linux上遇到了Acce
2020-11-17 20:40:52
855
原创 白帽子讲web安全读书笔记(第二章)
1.同源策略(理解可能未很深入):同源策略它是浏览器的一个最核心最基础的安全功能,通俗讲就是,同源相当于自家人,我信任的可以加载和执行。非同源是外边的人,给我的东西不能乱吃,所以限制非同源的脚本进来加载。其目的是:限制访问不同源的资源,不要把自己的信息拱手相让给别人,不同源的脚本文件可能是恶意代码,把自己重要的cooki可能都会泄露掉了给对方,是相当可怕的。注:同源:是指协议,域名(可以是子域名),端口号一致。(1)但是一些表签注:XMLHttpRequest:一种后台发出了轻量http请求,更新当
2020-11-02 21:58:21
111
原创 白帽子讲web安全读书笔记(第一章)
1.web发展史:(1)其实早期黑客攻击的系统软件居多。因为当年的web还没发展,而且攻击系统软件很香,直接可以拿到root权限。黑客早期使用了ssh的exploit(exploit:漏洞利用代码),入侵过联邦调查局。还有各种应用:SMTP,POP3,FTP,IRC等协议的用户当时很多,这是当时攻击的目标。(2)直到防火墙,ACL的出现,封锁了很多端口,暴露在互联网这些系统得到了保护。黑客直接把攻击矛头指向了越来越多人用的web。注释:什么是ACL:ACL是访问控制列表,一种包过滤的访问控制技术。对接
2020-11-02 21:08:24
193
原创 中国菜刀连接本地apache出现500错误的最快解决办法
中国菜刀连接本地apache出现500错误的最快解决办法我几乎在百度,csdn查遍了所有方法,又复杂又不能成功。后来自己换了一下phpstudy的php版本,把php7换成5的版本就可以顺利解决了。解决问题先用最简单的办法解决再尝试复杂的办法。但前提是你的代码,路径,网络是没问题的。...
2020-09-27 20:29:54
2527
1
原创 PHP的引用文件和自定义函数学习笔记
PHP的引用文件和自定义函数学习笔记(欢迎指正)1.PHP文件间的引用:什么是php文件间的引用:差不多跟C语言的include头文件,但还是有点差别的,主要是为了增强代码的重用性。但是乱来的话可能会带来的很大的漏洞。(黑客利用漏洞上传木马)(1)include 语言结构:使用说明:1.引用的PHP文件需要有<?php ?>的开始和结束。2.需要开启allow_url_include=On和allow_url_fopen=On,可以包含文件和包含互联网的文件。3.想要引用的地方直
2020-09-26 18:38:26
322
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人