摘要:
最近在尝试使用flask编写一个网站防篡改监测平台,目前已基本完成,前端使用光年模板修改,后端主要通过设置相关参数后轮询+正则匹配实现页面监控及篡改监测,简单介绍如下: 登录 因为是自己用,去掉了图形及花里胡哨的滑块验证码(主要是不会后端校验)而改用OTP码实现双因子,账号密码通过数据库对比, 监测 阅读全文
摘要:
最近在尝试使用flask编写一个网站防篡改监测平台,开始只注意功能,未注意注入问题,开始的SQL执行是拼接的方式,导致SQL注入: 用报错注入: 修改为参数化查询: 阅读全文
摘要:
最近在尝试使用flask编写一个网站防篡改监测平台,写到后面发现各种模块工作都杂糅在一个py文件中,尝试用蓝图blueprint解决。 比如单独写一个登出举例,新建logut.py: app.py中: 前端; 阅读全文
摘要:
主要用于重保、攻防演习等场景,只需要维护自己的设备认证信息和白名单即可。 代码见:https://github.com/rakjong/FortiGate-banIp-GUI 阅读全文
摘要:
感觉在安全的路上走远了qwq,把安全的东西用得不怎么安全了。 import PySimpleGUI as sg import hmac import base64 import struct import hashlib import time import sys import requests 阅读全文
摘要:
懂得都懂!默认装的几个插件: 阅读全文
摘要:
踩坑 首先在获取web目录的时候,如下,由于返回的json中每一个子json的都是一样的key和value,(应该是我太辣🐔了)无法正确获取到web.tmpdir的以/tmp/flink-web开头的那个路径,感谢@鼎爷和@王总给我支招使用循环的方式。 [ ......省略部分 { "key": 阅读全文
摘要:
工具使用 主界面: 爆破key 先对key进行内置100key爆破,模式选择check: 验证key 发现正确的key以后可继续对key值进行验证:通过返回信息,可知key值正确,没有什么问题: 漏洞回显 模式选择echo,选择gadget回显payload,6个gadget来自xray: 阅读全文
摘要:
CVE-2020-17519 jobmanager/logs路径遍历 介绍 Apache Flink 1.11.0中引入的更改(以及1.11.1和1.11.2中也发布)允许攻击者通过JobManager进程的REST接口读取JobManager本地文件系统上的任何文件。 影响版本 1.11.01.1 阅读全文
该文被密码保护。 阅读全文