一、概念了解及环境搭建1. 一些新概念
PyCharm是一种Python IDE,带有一整套可以帮助用户在使用Python语言开发时提高其效率的工具,比如调试、语法高亮、Project管理、代码跳转、智能提示、自动完成、单元测试、版本控制。此外,该IDE提供了一些高级功能,以用于支持Django框架下的专业Web开发。
IDE: 集成开发环境(Integrated Development Environment)是用于提供程序开发环境的应用程序。简单来说就是提高程序员开发效率的东西。
web服务器, 应用服务器:处理逻辑的服务器,处理php,python,不能直接通过nginx这种web...
一、前言
burp官方支持三种语言开发插件:Java、Python、Ruby。但一般情况下推荐使用Java来做插件开发。原因有以下两点:
当用python去做插件的时候,如果需要使用到某个库,而这个库又是用C语言实现的。那么插件将无法正常运行。因为burp在执行python写的插件的时候,是通过Jython(Jython是一种完整的语言,而不是一个Java翻译器或仅仅是一个Python编译器,它是一个Python语言在Java中的完全实现。)去解析执行的。而Jython是无法使用C写的模块,所以在这时候插件就不能正常运行。
burp本身是Java写的,使用Java去开发插件兼容性最高,会...
题目描述这篇writeup是关于这次比赛 PHP+1, PHP+1.5和PHP+2.5这三道代码审计题目的。我们可以用同一个payload来解决这三道题目。这三道题的考点是全部相同的: Bypass the WAF and get a shell
题目分析首先看第一道题(PHP+1),打开题目链接就能直接获取到题目代码
123456789101112131415161718192021222324252627282930313233343536373839404142434445<?php// PHP+1$input = $_GET['input'];funct...
什么是SQL注入
如何寻找SQL注入漏洞
如何利用SQL注入漏洞
如何防御SQL注入漏洞
什么是SQL注入
A SQL injection attack consists of insertion or “injection” of a SQL query via the input data from the client to the application.
SQL注入(SQL injection)是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入SQL语句中,
SQL注入的主要危害
由于SQL数据库通常保存有敏感数据,因此丢失机密性是SQL注入常见的问...
今天在群里和沙雕网友唠嗑,正好聊到了网络安全上面。于是打算展示点与网络安全相关的东西给群友们看看。就拿群友的学校开刀试试。
所有漏洞已提交给edu-src。
信息收集首先收集一下子域名,为了方便起见,直接使用在线子域名查询
逐个查看,找到了三个登录地址。简单测试一下,不能用万能密码进入。这时候发现其中有一个登录地址存在注册功能。
漏洞挖掘存储型XSS注册一个账号,进去之后发现可以编辑个人信息
测一下有没有存储型xss,如果有的话就可以利用申请项目来让管理员查看我的个人信息。然后就可以盗取管理员的cookie
打入xss的payload,保存输入的信息,可以看到成功触发payl...
记录已经学过的和未学过的知识点。(同时还收藏了一些莫名其妙的东西)已完成的内容将会在地址前打勾我,学,学不完了!
一、大师父们的博客
http://iamstudy.cnblogs.com/ 柠檬师父的博客
https://cl0und.github.io/ 刘师父的博客
https://www.leavesongs.com/ 离别歌师父的博客
https://bl4ck.in/ tomato师父的博客
https://godot.win/ Godot师父的博客
http://www.k0rz3n.com K0rz3n师父的博客
https://www.ilo...
第一次参与渗透测试项目
这是人生中第一次参与项目,项目开始到结束花了半个多月的时间。在此记录一下第一次参加项目遇到的一些漏洞与一些感受
渗透过程整个渗透过程为”工业化渗透”——在时间紧任务重的情况下,基本上每一个地方都只能采取流水化作业。即扫描器批量扫描,之后人工验证漏洞是否存在。
整个过程主要使用了两款扫描器
AWVS
nessus
AWVS主要扫描web层面的漏洞,可以自行挖掘目录结构,还可以挖掘邮箱泄露。nessus主要扫描主机层面的漏洞,可以自行扫描主机的所有端口并识别有什么服务。
在人工验证完扫描器产出的漏洞时,如果时间有剩余,就手动挖掘目标。web层主要看输入口,寻找s...
