随笔分类 -  网络安全

Google Hack
摘要:1.phonebook:+英文姓名作用:搜索电话号码簿,将会返回美国人姓名街道地址和电话号码列表,均真实,对需要大量美国地址的朋友很有用,只要是英文姓名都能找到。例:phonebook:tom另外还有两个小分类:rphonebook:仅搜索住宅用户电话号码簿;bphonebook:仅搜索商业的电话号... 阅读全文
posted @ 2015-03-11 14:31 曾是土木人 阅读(2605) 评论(0) 推荐(0) 编辑
网络安全相关站点
摘要:国内技术|资讯www.freebuf.com(内容质量不错)www.wuyun.org(drops和zone都不错)0day5.com(经常会发布一些较新的漏洞文章)xss.hacktask.net(XSS漏洞利用平台)security.tencent.com(腾讯安全应急响应中心)www.hack... 阅读全文
posted @ 2014-11-11 15:32 曾是土木人 阅读(2296) 评论(0) 推荐(2) 编辑
如何计算站点停留时间和页面停留时间
摘要:站点停留时间(Time on Site,下文简称Ts) 和 页面停留时间(Time on Page,下文简称Tp)是用户体验分析及流量质量监控的重要指标。但是极少有人知道网站访问的平均时间(Average Time on Site)是怎么计算出来的。无论是使用竞争情报分析工具,还是某种网站分析解决方... 阅读全文
posted @ 2014-09-24 19:57 曾是土木人 阅读(39980) 评论(0) 推荐(2) 编辑
SQL注入备忘单
摘要:Find and exploit SQL Injections with free Netsparker SQL Injection ScannerSQL Injection Cheat Sheet, Document Version 1.4About SQL Injection Cheat She... 阅读全文
posted @ 2014-08-06 23:02 曾是土木人 阅读(4200) 评论(1) 推荐(0) 编辑
Web渗透:PHP字符编码绕过漏洞总结
摘要:其实这东西国内少数黑客早已知道,只不过没有共享公布而已。有些人是不愿共享,宁愿烂在地里,另外的一些则是用来牟利。该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过addslashes() 转换后变为0xbf5c27,前面的0xbf5c是个有效... 阅读全文
posted @ 2014-08-05 21:50 曾是土木人 阅读(3842) 评论(0) 推荐(0) 编辑
SQLi Lab的视频教程和文字教程
摘要:SQLi Lab系列的文字和视频(需要FQ),讲解的很好SQLi Lab Series - IntroductionSQLi Lab Series - Error BasedSQLi Lab Series - Double Query / SubQuerySQLi Lab Series - Blin... 阅读全文
posted @ 2014-08-02 13:38 曾是土木人 阅读(3005) 评论(0) 推荐(0) 编辑
Python:渗透测试开源项目【源码值得精读】
摘要:sql注入工具:sqlmapDNS安全监测:DNSRecon暴力破解测试工具:patatorXSS漏洞利用工具:XSSerWeb服务器压力测试工具:HULKSSL安全扫描器:SSLyze网络Scapy: send, sniff and dissect and forge network packet... 阅读全文
posted @ 2014-07-29 00:47 曾是土木人 阅读(21821) 评论(3) 推荐(10) 编辑
Python:SQLMap源码精读—start函数
摘要:源代码 1 def start(): 2 """ 3 This function calls a function that performs checks on both URL 4 stability and all GET, POST, Cookie and U... 阅读全文
posted @ 2014-07-28 18:32 曾是土木人 阅读(5480) 评论(0) 推荐(0) 编辑
Python:SQLMap源码精读—基于错误的盲注(error-based blind)
摘要:目标网址http://127.0.0.1/shentou/sqli-labs-master/Less-5/?id=1Payload的生成 1 2 MySQL >= 5.0 AND error-based - WHERE or HAVING clause 3 2 4 1... 阅读全文
posted @ 2014-07-28 06:42 曾是土木人 阅读(6365) 评论(0) 推荐(0) 编辑
SQLMap用户手册【超详细】
摘要:http://192.168.136.131/sqlmap/mysql/get_int.php?id=1当给sqlmap这么一个url的时候,它会:1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据sqlmap支持五种不同的注入模式:1、基于 阅读全文
posted @ 2014-07-27 23:16 曾是土木人 阅读(192221) 评论(3) 推荐(8) 编辑
Python:SQLMap源码精读—基于时间的盲注(time-based blind)
摘要:建议阅读Time-Based Blind SQL Injection Attacks基于时间的盲注(time-basedblind) 测试应用是否存在SQL注入漏洞时,经常发现某一潜在的漏洞难以确认。这可能源于多种原因,但主要是因为Web应用未显示任何错误,因而无法检索任何数据。 对于这种情况,... 阅读全文
posted @ 2014-07-27 16:47 曾是土木人 阅读(14673) 评论(1) 推荐(1) 编辑
Python:SQLMAP参数中文解释
摘要:#HiRoot's BlogOptions(选项):--version 显示程序的版本号并退出-h, --help 显示此帮助消息并退出-v VERBOSE 详细级别:0-6(默认为1)Target(目标):以下至少需要设置其中一个选项,设置目标URL。-d DIRECT 直接连接到数据库。-u U... 阅读全文
posted @ 2014-07-25 13:55 曾是土木人 阅读(1729) 评论(0) 推荐(0) 编辑
Python:Sqlmap源码精读之解析xml
摘要:XML %d... 阅读全文
posted @ 2014-07-22 16:01 曾是土木人 阅读(5304) 评论(0) 推荐(0) 编辑
Nmap命令的29个实用范例
摘要:Nmap即网络映射器对Linux系统/网络管理员来说是一个开源且非常通用的工具。Nmap用于在远程机器上探测网络,执行安全扫描,网络审计和搜寻开放端口。它会扫描远程在线主机,该主机的操作系统,包过滤器和开放的端口。我将用两个不同的部分来涵盖大部分NMAP的使用方法,这是nmap关键的第一部分。在下面... 阅读全文
posted @ 2014-06-21 20:09 曾是土木人 阅读(37691) 评论(0) 推荐(1) 编辑
Metasploit中数据库的密码查看以及使用pgadmin远程连接数据库
摘要:我们都知道,在msf下进行渗透测试工作的时候,可以将结果数据保存到数据库中,方便各个小组成员在渗透测试过程中的数据同步。例如,Metasploit提供了db_nmap命令,它能够将Nmap扫描结果直接存入数据库中,此外还提供了db_import命令,支持多达20中扫描器扫描结果的导入。Metaspl... 阅读全文
posted @ 2014-06-18 20:47 曾是土木人 阅读(8867) 评论(0) 推荐(0) 编辑
Metasploit数据库问题汇总
摘要:数据库在metaspoit中是相当重要的,当做一个大型渗透测试项目的时候,收集到的信息是相当大的,当和你的同伴一起协同作战的时候,你们可能 在不同的地方,所以数据共享很重要了!而且Metasploit还可以兼容一些扫描软件,例如NMAP、Nusess、Nexpose等扫描软件,我们可 以将扫描结果保... 阅读全文
posted @ 2014-06-16 23:14 曾是土木人 阅读(4581) 评论(0) 推荐(0) 编辑
国内外安全网站网址大集合
摘要:国内安全http://security.zz.ha.cn/起点安全,有相当不错的原创内容国内安全http://www.shopsky.com/flashsky的个人主页国内安全http://www.safechina.net有较多原创内容的安全站国内安全http://www.opengram.com... 阅读全文
posted @ 2014-04-15 23:27 曾是土木人 阅读(18992) 评论(0) 推荐(3) 编辑