随笔分类 -  web安全

摘要：dao层中已经有操作数据库的方法了，为什么还要service层去封装？有什么好处？ tanghui12321 | 浏览 131990 次 |举报 我有更好的答案 推荐于2017-10-06 18:44:59 tanghui12321 | 浏览 131990 次 |举报 我有更好的答案 推荐于2017 阅读全文

摘要：利用场景 钓鱼攻击 中间人攻击 攻击手段 攻击者向受害者发送钓鱼链接 http://nerddinner.com/Account/LogOn?returnUrl=http://nerddiner.com 将正常网站重定向到攻击者控制的恶意网站 攻击效果 获取敏感数据（用户提交的） 获取受攻击者权限 阅读全文

摘要： 阅读全文

摘要：整理并总结了《黑客攻防技术宝典 web实战篇》第一章的知识，不得不说这是一本越读越有味道的书，看似啰嗦的语言，仔细读来却不得不佩服作者和译者用词的准确性，严谨性。 枚举（简单的爬虫枚举） 1、手动浏览，并且点击(登录、简单漏洞、查网站指纹，脚本类型，不能爬的url、自定义404) 2、爬虫抓取手动浏 阅读全文

摘要：抓取西刺免费代理ip（未完成版，没加代理，没加验证） import urllib2import urllibimport renum=50for m in range(1,num): url='http://www.xicidaili.com/nn/'+str(m) user_agent='Mozi 阅读全文

摘要：前几天安了ubuntu kylin，主题还是挺好看的，汉化也很好，就是各种报桌面错误，忍了，结果今天直接进不去桌面了 开机，输入密码，登录，然后桌面死活不显示，还弹出了错误提示我系统有问题，建议重启 重启后还是这样 针对这种情况，我给出一个临时的解决办法 开机->在登录界面按ctrl+alt+f2调 阅读全文

摘要：今天开始着手分析第一个漏洞，找了一上午靶机，发现一个含有成人内容的违法网站是用dz6.0搭的，今天就看看dz这个版本的洞了 问题函数位置：my.php第623行 问题原因：动态生成的数组的key没过滤就传入sql语句中，攻击者可以构造特殊请求为$buddyid赋值，从而构造注入攻击。 复现过程：（后 阅读全文