Jason_huawen

摘要： 核心思想： 在获取页面内容会后，用BeautifulSoup模块对页面标签进行提取，提取出页面中所有的Form表单，并进一步提取表单中的action属性(提交页面的目标URL）,method属性，以及input，然后自动提交数据，实现漏洞的挖掘。 import requests from bs4 i 阅读全文

摘要： 利用默认的镜像源所安装的PHP版本比较低，为5.4，而目前很多应用比如wordpress都需要较高版本的PHP，比如7.X,本文列出如何在CentOS上安装7.X版本的PHP。 1. 添加EPEL 以及REMI的仓库 sudo yum -y install https://dl.fedoraproj 阅读全文

摘要： 在当今应用驱动的世界中， API的应用无处不在， 从银行、零售和运输到物联网、自动驾驶汽车和智能城市，API 是移动应用、SaaS 和 Web 应用程序的关键部分。 从本质上讲，API 会暴露应用程序逻辑和敏感数据，例如个人身份信息 (PII)，因此越来越多地成为攻击者的目标。 如果没有安全的 AP 阅读全文

摘要： 实现原理 将子域名拼接到目标域名前面，然后通过Python代码进行访问，判断返回结果，从而跑出子域名是否存在。也就是，利用Requests模块发起对目标网站的请求，如果没有连接错误则表明该子域名存在。本代码虽然使用了多线程模块，但是在实际测试中发现更慢，可能是目标网站对并发连接实施了限制。 impo 阅读全文

摘要： Commix 是使用 Python 开发的命令注入漏洞测试工具。 该工具旨在方便地检测请求是否存在命令注入漏洞并进行测试。 常见选项包括： 目标相关: -u URL, --url = URL target URL. 设定目标URL（即可能存在命令注入漏洞的URL） 请求相关: --data= Dat 阅读全文

摘要： 首先扫描目标有哪些开放的端口: # nmap -sV -A -sC -p- 192.168.140.164 Starting Nmap 7.92 ( https://nmap.org ) at 2022-04-14 00:16 EDT Nmap scan report for 192.168.140 阅读全文

摘要： 来自俄罗斯联邦文化部 / Министерство культуры Российской Федерации 的 230,000 封电子邮件通过 DDoSecrets 平台泄露。 泄露的数据包括三个数据集，其中最大的一个与文化部有关，大小为 446 GB（包含 230,000 封电子邮件），负责国 阅读全文

摘要： 破解HTTP POST 用户名密码: hydra -l <username> -P <wordlist> 10.10.146.211 http-post-form "/:username=^USER^&password=^PASS^:F=incorrect" -V 选项解释： -l 指定单个的用户名 阅读全文

摘要： 概述 Arjun 可以通过字典的方式找到 目标URL 的查询参数。 大家知道Web 应用程序使用参数（或查询）来接受用户输入， 比如 http://api.example.com/v1/userinfo?id=751634589。 这个 URL 似乎加载了特定用户 id 的用户信息，但是如果存在一个 阅读全文

摘要： 芬兰国防和外交事务网站今天在受到 DDoS 攻击后下线。美国国防部在格林威治标准时间上午 10 点 45 分写道：“国防部网站 http://defmin.fi 目前正受到攻击。我们目前正在调查。我们将在下面发布任何其他信息。”它接着说：“暂时，我们将关闭国防部网站，直到网站上的有害流量消失。我们所 阅读全文