- 博客(13)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Web-XSS
XSS简介XSS是什么?XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。跨站点脚本(XSS)攻击是一种注射型攻击,攻击者在可信的网页中嵌入恶意代码,用户访问可信网页时触发XSS而被攻击。XSS会造成哪些危害?攻击者通过Web应用程序发送恶意代码,一般以浏览器脚本的形式发送给不同的终端用户。当一个Web程序的用户输入点没有进行校验和编码,将很容易的导致XSS。网络钓鱼,包括获取各类用
2021-10-08 21:37:51
197
原创 DARKHOLE: 2
信息收集靶机下载地址为:vulnhub-DARKHOLE: 2今日 的靶机漏洞练习kali :100.100.100.131/24靶机:100.100.100.132/24依旧使用nmap神器对局域网主机开放服务端口进行扫描,瞅瞅有没有可以利用端口nmap -v -T4 -sC -sV -p- 100.100.100.0/24发现有100.100.100.132 主机有wbe页面这个应该就此此次的目标了,对它单独的扫描一次,收集更多信息发现开放22端口和80端口,即对应的远程连接
2021-10-05 17:11:30
1877
原创 CTF-AWD
CTF-AWDAWD (Attack With Defence),比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。简而言之就是你既是一个hacker,又是一个manager。必备操作:备份网站文件修改数据库默认密码修改网页登陆端一切弱密码查看是否留有后门账户关闭不必要端口,如远程登陆端口使用命令匹配一句话特性关注是否运行了“特殊”进程权限高可以设置防火墙或者禁止他人修改本目录防御ssh远程登录一、口令登录口
2021-10-04 15:09:21
4195
原创 Scapy数据包构建详解
SCAPYScapy是一个强大的,用Python编写的交互式数据包处理程序,它能让用户发送、嗅探、解析,以及伪造网络报文,从而用来侦测、扫描和向网络发动攻击。Scapy可以轻松地处理扫描(scanning)、路由跟踪(tracerouting)、探测(probing)、单元测试(unit tests)、攻击(attacks)和发现网络(network discorvery)之类的传统任务。它可以代替hping,arpspoof,arp-sk,arping,p0f 甚至是部分的Nmap,tcpdump和ts
2021-10-04 15:00:06
2555
原创 Vulnhub-靶机-PRIME: 1
今天发现了一个有趣的靶机,加载到本地VMware Workstation工作站进行漏洞复现靶机下载地址 https://www.vulnhub.com/entry/prime-1,358/对目标进行扫描发现开放端口信息nmap -sS -sV -p- -T5 100.100.100.130浏览器访问,并对其进行目录扫描dirb 描目录发现了/wordpress目录和一些其他的页面对wordpress进行扫描wpscan--url http://rip/wordpress/ --
2021-10-03 21:39:50
1527
原创 为web安全学习小白制作的开源靶场
很多同学在学习web安全的时候都是不知道怎么去学习,怎么去练习web安全技术,为了解决这个问题,我和我的同学Jonathan共同制作了一套靶场–websec-labs。该靶场汇聚了六套web安全开源靶场,三个综合靶场(DVWA、pikachu、bWAPP),三个专项练习靶场(SQLI、XSS、UPload),便捷的docker 集成环境,由简到难练习十多个web漏洞如,sql注入漏洞、上传漏洞、XSS漏洞、代码执行漏洞、文件包含等会危害到服务器安全的危险漏洞。...
2021-10-03 21:13:35
1554
1
原创 Scapy 数据的保存
1. 数据的提取1.1 控制台打印import scrapyclass DoubanSpider(scrapy.Spider): name = 'douban' allwed_url = 'douban.com' start_urls = [ 'https://movie.douban.com/top250/' ] def parse(self, response): movie_name = response.xpath(
2021-05-25 11:46:08
448
原创 Scapy框架的使用
1 基本使用1.1 创建项目运行命令:scrapy startproject myfrist(your_project_name)文件说明:名称作用scrapy.cfg项目的配置信息,主要为Scrapy命令行工具提供一个基础的配置信息。(真正爬虫相关的配置信息在settings.py文件中)items.py设置数据存储模板,用于结构化数据,如:Django的Modelpipelines数据处理行为,如:一般结构化的数据持久化settings.py配置
2021-05-25 11:45:42
145
原创 数据提取-正则表达式
1. 提取数据在前面我们已经搞定了怎样获取页面的内容,不过还差一步,这么多杂乱的代码夹杂文字我们怎样把它提取出来整理呢?下面就开始介绍一个十分强大的工具,正则表达式!正则表达式是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符、及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。正则表达式是用来匹配字符串非常强大的工具,在其他编程语言中同样有正则表达式的概念,Python同样不例外,利用了正则表达式,我们想要从返回的页面内容提取出我们想要的内容
2021-05-24 15:57:27
396
原创 Requests库的用法
1. 介绍对了解一些爬虫的基本理念,掌握爬虫爬取的流程有所帮助。入门之后,我们就需要学习一些更加高级的内容和工具来方便我们的爬取。那么这一节来简单介绍一下 requests 库的基本用法2. 安装利用 pip 安装pip install requests3. 基本请求req = requests.get("http://www.baidu.com")req = requests.post("http://www.baidu.com")req = requests.put("http:/
2021-05-24 15:56:41
90
原创 URLError与cookie
1. Cookie为什么要使用Cookie呢?Cookie,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)比如说有些网站需要登录后才能访问某个页面,在登录之前,你想抓取某个页面内容是不允许的。那么我们可以利用Urllib库保存我们登录的Cookie,然后再抓取其他页面就达到目的了。1.1 Opener当你获取一个URL你使用一个opener(一个urllib.OpenerDirector的实例)。在前面,我们都是使用的默认的opener,也就是url
2021-05-24 15:53:57
102
原创 urllib库的高级用法
1. 伪装自己有些网站不会同意程序直接用上面的方式进行访问,如果识别有问题,那么站点根本不会响应,所以为了完全模拟浏览器的工作1.1 设置请求头其中User-Agent代表用的哪个请求的浏览器代码如下:from urllib.request import urlopenfrom urllib.request import Requesturl = 'http://www.server.com/login'user_agent = 'Mozilla/4.0 (compatible; MSI
2021-05-24 15:51:34
97
原创 计算机网络基础学习
计算机网络基础文章目录计算机网络基础前言一、什么是网络?二、什么是IP地址IPv4A类地址B类地址C类地址D类地址E类地址二、网络协议1、[ARP](http://www.023wg.com/message/message/cd_feature_ARP_message_format.html)2、[MPLS](http://www.023wg.com/message/message/cd_feature_mpls-packet.html)3、[OSPF](http://www.023wg.com/mes
2021-05-08 10:57:43
139
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人