mgxcool的专栏

很多人在学习csrf的时候，书本和文章上都会写到，在a站点面嵌入一个b站点的链接，那么浏览器在请求b页面的资源时会自动带上b的cookie。不过我觉得这些文章的内容已经有些过时了，近期在解决内部的一个csrf问题时，发现当前浏览器已经默认启用了cookie中的samesite保护机制，这种跨域的csrf想利用已经很难了。简单来说就是服务端在返回set-cookie时，可以加上一个samesite属性，这个属性有三个值：lax/strict/nonelax：跨域的请求不会带上cookie，不过如果

以前自己做测试的时候经常使用python requests，发送各种http请求非常方便。但是最近升级到python3使用requests之后，发现在我的请求发出去之前，requests会做一些解码/目录压缩之类的工作。举几个例子：/test.php?a=%61%62%63%64使用requests发出请求后，抓包会发现实际请求中的参数被解码，变成了如下内容：/test.php?a=abcd另外一个例子：aa.com/abcd/../123/../test.php最后发出去的

apache对文件后缀名的识别是从后向前进行匹配的，以单个.作为分隔符。当遇到未知的文件后缀名时，会继续向前匹配，直到遇到可以识别的后缀名为止。如：根目录下有一个abc.php.xa.cd.gf文件，当通过浏览器请求这个文件时，因为第一个后缀名.gf是无法识别的，apache会继续处理.cd,同样无法识别，直到最后识别出.php，那么最后这个文件将被作为php文件解析并执行。

脆弱性测试的时候，发现了一处输出没有做编码转换，但由于开启了magic_quote_gpc,导致提交的数据中，' "都被转义，最后导致输出的地方不能执行恶意js。如下：提交的恶意数据为1'，alert(123),'因为被magic_quote_gpc转义，存储到后台的数据也是被转义的，导致输出的

今天和同事讨论ftp连接中，能不能先协商成主动，进行文件操作后，再换成被动模式进行文件操作。有的同事提出不可以，想切换模式的话控制连接也会断掉。但是我认为是可以切换的，为了证明我的观点，我找环境试验了一下，事实证明是可以切换的，控制连接保持不变，数据连接会重新协商。不过我在测试的时候发现，命令行下面，虽然可以通过literal pasv或者quote pasv命令切换到被动模式，但是当

这两天了解到linux有单用户模式一说，类似于windows的维护模式。最常用到的就是通过但用户模式修改root密码。centos下进入单用户模式的方式如下：开机引导处，输入e进入grub界面进入grub引导界面时，输入e进入编辑状态选中kernel一行，输入e进行编辑，追加“ single”，注意single前有空格。回车提交。输入b进

http://www.freebuf.com/articles/web/54686.html后面xss中加入回车换行tab符混淆，结合webkit词法解析讲的很不错

在测试的时候，发现有些时候用wireshark抓到的包中含有很多大于mtu的数据包。于是试了一下，在本机抓包和在通信的对端同时抓包，发现本机上抓到了大于mtu的包，但是对端却没有这种包。可以推断出数据包在最后发出去的时候，还是进行了切分。从这个现象大概也可以猜测出wireshark抓包的机制，大概是在什么地方抓取的包。于是想了想网卡上有没有什么参数可以配置来解决这个问题，最后发现一

进行脆弱性测试时遇到一个问题，提交的恶意数据虽然没有被过滤，但是不会出现弹窗。提交的数据为alert(123).从web上看，显示数据的那一部分为空，可见自己提交的数据已经被作为标签解释了，不然会直接把代码显示出来。研究了好长时间，最后怀疑是ajax本身就不会去执行这部分代码。换成img onerror之后就可以成功弹窗了。在网上搜到了一些解释，不过不知道是

http://www.freebuf.com/articles/web/136729.htmlfreebuf上看到的一篇文章，挺有意思的。大致思路就是有很多非拉丁字母的字符，形态上与英文字母特别相近，但是其实是完全不同的字符。攻击者利用这些形态特别相近的字符，去注册一个看起来很常见的域名，进行钓鱼欺骗。目前已知的大部分都是用西里尔字母进行混淆欺骗：比如：ЗбО.com，其实

最近在做的一个项目中，我需要帮客户去维护一些基础数据，其中有一项工作内容就是需要对3000多个数据做批量的处理。这个过程需要我在系统的页面上，批量的对每一页的数据进行过滤、全选，然后批量操作，直到这3000多个数据全部梳理完成。借此机会探索一下浏览器插件开发，之所以决定用浏览器插件的方式，有以下几个原因：1.  selenium也可是实现页面自动化，只是我觉得这个东西不是很好用，要一直

iis在解析文件时，存在如下两个漏洞，攻击者可利用这两个漏洞来绕过服务器对上传文件的检测。当web目录中存在一个文件夹为test.asp时，这个目录下所有的文件都会被作为asp文件解析。此种情况通常发生于可以在web服务器上创建目录的情况，攻击者可以随意创建一个名称为xx.asp的目录，然后在这个目录下上传后缀名为xx.jpg的文件，实际内容则为asp脚本。当发送请求xx.asp\

在asp中，字符串中是允许存在null字符的，但是许多asp的文件上传系统中，当文件名中含有null字符时，会导致null字符后面的数据被忽略。简单的说，如果有一个asp的文件操作函数create_file(),传递参数a.jpg,那么会产生一个a.jpg的文件。可是，如果传递一个带有null字符的参数呢？看下面的例子：这样，因为null字符后面的数据都被丢弃，调用函数时，

ftp的命令控制是通过telnet协议来实现的，根据不同的服务器，可能只实现了telent协议的一小部分。iis-ftp、wu-ftp服务器中，如果在命令中插入telnet命令字符，这两种服务器在处理ftp领命时，会自动把这些字符识别为telnet命令并过滤掉。在iis-ftp服务器上，我自己验证过的可以识别的命令有以下几种：\xFF\xFF\xF0 ~ \xFF\xFE

前阵子看一篇apt报告，里面提到了RLO文件名欺骗技术，第一次听说这个词汇，所以在网上搜了一下。大致原理就是，在windows下面，支持一种特殊的unicode字符RLO，一个字符串中如果有这个字符的话，那么在windows下显示时，就会把RLO右侧的字符串逆序显示出来。例：原始字符串：abcd[RLO]efgh在windows下显示为：abcdhgfe攻击者可以利用这个特性，

今天看了freebuf上的一篇介绍php环境下mongo注入的文章：www.freebuf.com/articles/database/95314.html写的非常不错，于是自己也学习了一下，写个文章作为自己的总结。由于mongo查询语法的特殊性，导致传统的sql注入攻击并不适用于mongodb的注入。但是在php环境下，因为php内的数组要求不是很严格，所以有可能导致利用ph

最近测试性能的时候需要在一个系统上增加大量账号进行测试，手动抓包看了一下用的是multi-part类型的表单。为了省事直接把http请求的body部分copy了出来，然后把帐号名替换成我要的变量，再批量执行request.post发请求都发出去，达到添加大量账户的目的。之所以当时直接copy了body，是因为当时在网上搜了一下，request可以通过request.post(url

旁路劫持攻击简介在client和server之间的网络通信中，如果它们之间交互的流量被攻击者监听到，那么攻击者就可以监听client端发起的请求，然后伪造一个假的response包发送给client端。假如攻击者与受害主机的网络距离（物理跳数）小于真实服务器与受害者的距离，那么这个伪造的response就会比真实服务器发出的响应提前到达，从而使客户端优先处理了这个假的response，而真的r

攻击过程有点类似于csrf，只不过csrf只管发送http请求，但是json-hijack的目的是获取敏感数据。一些web应用会把一些敏感数据以json的形式返回到前端，如果仅仅通过cookie来判断请求是否合法，那么就可以利用类似csrf的手段，像目标服务器发送请求，以获得敏感数据。攻击者可以在虚假页面中，加入如下标签：加入www.bank.com/userinf

phpbb上的一个比较经典的漏洞，估计这个攻击也是因为这个漏洞而来的，没见到在其它地方出现过这个漏洞。产生原因大概是这样：phpbb会将用户请求中的参数放到response的refresh头中。如：GET /a.php?url=test.php那么response中就会多出如下一个refresh头：REFRESH:0;URL=http://SERVE

http://www.91ri.org/7009.html使用etag，挺有创意的。

假设c盘目录下有一个1.txt文件，在资源管理器中，输入下面的几种路径，最后的效果都是打开1.txt文件：c:\1.txtc:\1.txt.c:\1.txt...c:\1.txt.. .. .. .可见操作系统在处理文件名时，会自动过滤掉最后面多余的.与空格。利用这个特性，攻击者可以逃避一些web针对文件名的过滤检测。假设一个web页面提

工作中要用到smtp暴力猜测工具，找了很多资源都不支持smtp协议，好不容易找到一个也是python写的，但是因为太强大了不会用。所以只好自己写了一个。平时不怎么写代码，很多地方处理的都不是很好，就作为一个参考吧。import socketimport base64import threadingimport timedef login(user,passwd,host):