- 博客(15)
- 资源 (6)
- 收藏
- 关注
RSS订阅
原创 关于在火狐浏览器下Burp Suite不能抓包的解决方法
1.第一种情况是网上有很多回答的那种:如图,要去掉默认不使用代理2.第二种情况是使用了插件导致可能是浏览器插件排除了localhost和127.0.0.1, 把排除的删掉3.第三种情况就是我遇到的情况了,把127.0.0.1改成localhost试试,需要特别注意的是:localhost后面要加上一个点“.”如:http://localhost./dvwa/...
2019-07-12 00:07:27
4743
1
原创 开源代码监控--码小六(安装使用教程)
写在前面众所周知,GitHub 是全球最大的代码托管平台,它在 2019 年报中提到平台已拥有超过 4000 万开发者,全年共创建了 4400 万个仓库。而在庞大的数字的背后,每天却发生着大量的安全泄露!我们需要实时监控 GitHub,防止出现重大安全事故。工具介绍GitHub 代码泄露监控工具 - 码小六,基于 PHP + Laravel 构建,开源免费仓库地址:https://github.com/4x99/code6系统特点:1、全可视化界面,操作简单2、支持 GitHub 令牌管
2020-06-21 10:27:44
4627
原创 解决Android killer或apktool回编译报错问题
昨天在测试安卓客户端时,回编总是出错出错,换各种工具都没有用,error: No resource identifier found for attribute ‘keyboardNavigationCluster’ in package ‘android’,在网上找了各种博客都没有找到一个能解决的办法,下面记录一下最终解决办法:1.将apktool升级到最新版;2.通过cmd命令行执行以下命令(需要进入到apktook的目录下运行此命令): java -jar apktool_2.3.4.jar e
2020-05-09 10:32:34
1299
原创 Web安全之上传漏洞
0x00 任务1、编写一个上传图片的功能页面2、针对上传的文件进行验证(后缀验证、文件头验证、文件名验证等)3、文件上传通常会与文件解析漏洞相结合,可以收集整理存在解析漏洞的组件和相关版本,无法部署相关环境,可以学习相关技术,不用实际操作扩展学习:学习如何绕过黑名单验证、文件头验证,如何杜绝上传图片的功能无法利用获取 shell ?0x01 客户端检测(1)后缀检测(使用js检查不...
2020-01-15 14:47:15
348
原创 数据库备份拿webshell
数据库备份拿webshell原理 数据库备份拿webshell主要前提是能进入到应用系统后台,并且有数据库备份功能。 当我们想法设法进入到一个系统后台之后,本以为找一个文件上传的地方来上传一个webshell,但是上传点却是限制得死死的,高强度的白名单限制,各种绕过都没有成功,恰巧该系统后台中有数据库备份这个功能,此时我们可以通过数据库备份来拿webshell! 首...
2020-01-13 22:29:06
1448
1
原创 Ubuntu阿里云镜像源
ubuntu 16.04阿里云镜像源配置如下deb http://mirrors.aliyun.com/ubuntu/ xenial maindeb-src http://mirrors.aliyun.com/ubuntu/ xenial maindeb http://mirrors.aliyun.com/ubuntu/ xenial-updates maindeb-src http:/...
2020-01-06 20:51:56
916
转载 Web安全学习之——基于dvwa的XSS (DOM)学习教程
1.什么是DOM型XSS?DOM全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞,其触发不需要经过服务器端,也就是说,服务端的防御并不起作用。它的特殊之处在于它是利用 JS 的document.write 、docume...
2019-07-20 19:25:48
356
原创 Web安全学习之——基于dvwa的XSS (Stored)学习教程
1.什么是XSS(stored)?存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等例子:发一篇文章,里面包含了恶意脚本今天和女朋友出去约会了,心情不错<script>alert('handsome ...
2019-07-19 15:46:18
403
原创 Web安全学习之——基于dvwa的XSS (Reflecte)学习教程
什么是XSS?XSS,全称Cross Site Scripting(为了与CSS区分开来故称为XSS),即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。...
2019-07-17 21:25:35
375
原创 Web安全之—File Upload基于dvwa的一句话木马注入
LOW Level代码:<?phpif( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $...
2019-07-16 16:38:12
1027
转载 Web安全学习之—file upload(各种一句话木马大全)
本文转载自:https://blog.youkuaiyun.com/l1028386804/article/details/84206143<%eval request("c")%><%execute request("c")%><%execute(request("c"))%><%ExecuteGlobal request("sb")%>%>&...
2019-07-15 15:53:25
452
原创 SQL注入之——伪静态注入
1.什么是伪静态注入?答:“伪静态”顾名思义就是一种表面上看似是静态网页(以.html、.htm等结尾),不存在任何的数据交互,却其实是动态网页,存在数据交互的网站,具有这种特性的网页成为“伪静态网页”。我们看到的伪静态网页其实是经过处理的,将动态网页的id等参数通过URL重写来隐藏,让查看者以为是静态网页。展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。2....
2019-07-15 15:07:40
2438
转载 web安全学习之基于dvwa的SQL注入演练(low)
SQL注入练习:基于DVWA的SQL注入演练(low)1、设置把安全等级先调整为low,让自己获得点信心。2、测试和分析页面的功能根据上面的提示,输入用户的id。然后我们输入之后,发现它返回了关于这个user的信息!这里我们输入了“1”。它返回三行数据,一行是我们输入的用户ID。一行是用户名,另外一行是用户别名。同时,看一下浏览器的地址栏那里,发现url成这样了这里有个id=1...
2019-07-15 15:06:57
471
原创 sqlmap使用的简单介绍(基于dvwa讲解)
前言:写这篇文章主要是给自己做个笔记,也方便刚入门的新手快速上手。至于详细原理和基础,各位还得自己动手搜索其他文章或者看书学习。本教程基于dvwa来测试,首先我们直接以SQL Injection (Blind)的medium level为例:1.首先,我们先准备好burpsuite进行抓包,然后在输入框里输入一个数字:点击提交,在burpsuite里抓到包2.我们把里面的代码全部复制下...
2019-07-14 20:30:09
1081
原创 web安全学习之基于dvwa的SQL Injection (Blind)盲注--思路篇
1.什么是盲注?盲注的本质是猜解,所谓 “盲” 就是在你看不到返回数据的情况下能通过 “感觉” 来判断。SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲...
2019-07-13 16:43:36
414
db_library.rar
2020-01-02
广东工业大学 操作系统实验源代码
2020-01-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人