XxSec

摘要： 跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的html代码，从而盗取用户资料，利用用户身份进行某种动作或者对访问者进行侵害的一中攻击方式，为了与层叠样式表的缩写css区分开，跨站脚本通常简写为xss危害：盗取 阅读全文

摘要： 命令执行漏洞：通过易受攻击的应用程序在主机操作系统上执行任意命令，用户提供的数据(表单，cookie，http头等)未过滤挖掘思路：用户能够控制函数输入，存在可执行代码的危险函数命令执行和代码执行的区别：命令执行 执行效果不受限于语言，语法本身，不受命令本身限制代码执行 执行效果完全受限语言本身命令 阅读全文

摘要： 代码执行漏洞代码执行漏洞是指应用程序本身过滤不严，用户可以通过请求将代码注入到应用中执行，当应用在调用一些能将字符串转化成代码的函数(如php中的eval)时，没有考虑到用户是否能控制这个字符串，造成代码注入。挖掘思路：存在可执行代码的危险函数，用户能控制函数的输入。常见危险函数eval和asser 阅读全文

摘要： SQL注入攻击(sql injection)被广泛用于非法获取网站控制权，在设计程序时，忽略或过度任性用户的输入，从而使数据库受到攻击，可能导致数据被窃取，更改，删除以及导致服务器被嵌入后门程序等sql注入的条件用户输入数据可控，源程序要执行代码，拼接了用户输入的数据注入两大类型（不同数据库的比较方 阅读全文

摘要： 全局变量：就是在函数外面定义的变量，不能在函数中直接使用，因为它的作用域不会到函数内部，所以在函数内部使用的时候尝尝看到类似global $a;超全局变量：在所有脚本都有效，所以，在函数可以直接使用，如$_GET $_SERVER都是超全局变量，变量保存在$GLOBALS数组中超全局变量$GLOBA 阅读全文

摘要： 1.php.ini基本配置-语法大小写敏感directive = value(指令=值)foo=bar 不等于 FOO=bar运算符| & ～ ！空值的表达方法foo = ;foo = none;foo = "none";2.基本配置安全模式safe_mode = on (安全模式，用来限制文档的存 阅读全文

摘要： 一、vim python自动补全插件:pydiction 可以实现下面python代码的自动补全: 1.简单python关键词补全 2.python 函数补全带括号 3.python 模块补全 4.python 模块内函数,变量补全 5.from module import sub-module 补 阅读全文

摘要： K8s简介Kubernetes（k8s）是自动化容器操作的开源平台，这些操作包括部署，调度和节点集群间扩展。使用Kubernetes可以 自动化容器的部署和复制 随时扩展或收缩容器规模 将容器组织成组，并且提供容器间的负载均衡 很容易地升级应用程序容器的新版本 提供容器弹性，如果容器失效就替换它，等 阅读全文

摘要： 最好的 NMAP 扫描策略 # 适用所有大小网络最好的 nmap 扫描策略 # 主机发现，生成存活主机列表 $ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24 $ grep "Status: Up" Discovery.gnmap | cut -f 阅读全文

摘要： @echo onnet stop w32timew32tm /unregisterw32tm /registernet start w32timew32tm /config /manualpeerlist:"172.21.194.2" /syncfromflags:manual /reliable: 阅读全文