路漫漫其修远兮，吾将上下而求索

摘要： PS：渗透测试中要熟练知道这些常用url编码字符含义，有些通过特殊编码后，含义相同，但可以绕过waf PS：Unicode编码，以及使用畸形unicode编码绕开过滤 PS：burp中Decoder解码工具 PS：HTML编码 PS：BASE64编码和十六进制编码 多测试练习熟练，一般URL编码用的 阅读全文

摘要： PS：cookie的介绍、构成 PS：cookie的属性 PS：状态码（通过服务器返回的状态码要非常熟练知道是什么含义） PS：https和http代理（ http代理工具有burp、fiddler等） PS：Basic等身份认证方法 PS：通过这节课要能看懂请求头、响应头（对方服务器的一些信息） 阅读全文

摘要： 通过burp请求头部修改为OPTIONS再提交，可以查看支持的方法。put是上传（木马之类，不要直接用jsp或asp格式的，一般用txt格式，再用move改名），move是重命名。 PS：IIS服务器利用工具 PS：URL的组成 web应用程序编码方案_网络_amy130的博客-CSDN博客 阅读全文

摘要： 第 3 章 Web 应用程序技术 Web 应用程序使用各种不同的技术实现其功能。本章简要介绍渗透侧试员在攻击 Web 应用程序时可能遇到的关键技术。我们将分析 HTTP 协议、服务器和客户端常用的技术以及用于在各种情形下呈现数据的编码方案。这些技术大都简单易懂，掌握其相关特性对于向 Web 应用程序 阅读全文

摘要： 2007-2011间web漏洞排行 1、不完善的身份验证措施（62%）；2、不完善的访问控制措施（71%）；3、SQL注入（32%）；4、XSS（94%）；5、信息泄露（78%）；6、CSRF（92%）； 密码重用漏洞是在拿到web站后台或数据库，甚至服务器管理账号和口令后，放一些爆破工具在对方服务 阅读全文

摘要： php -r 'phpinfo();' 显示phpinfo信息 <?php phpinfo();?>保存为info.php执行后，显示phpinfo信息 echo ^<?php phpinfo();?^> >info.php，同上，cmd中执行 参考： PHP配置文件详解php.ini - 天真無邪 阅读全文

摘要： NOW() 返回当前日期和时间 CURDATE() 返回当前日期 CURTIME() 返回当前时间 格式化当前时间和现在到过年还有多少天： CASE用法： 函数 功能 DATABASE() 返回当前数据库名 VERSION() 返回当前数据库版本 USER() 返回当前登录用户名 INET_ATON 阅读全文

摘要： 1、这是整个表内容： 2、select * from host where id='1' and '1'='1' 和 select * from host where id='1' and '1'='2' 3、select * from host where id='1' or '1'='1' 和  阅读全文

摘要： 开启后，使用用户名和口令登录，关闭后无法用用户名口令登录ftp服务器，没找到UnixAuthentication相关的资料，不知道是不是就是指用/etc/passwd中的用户名登录就是UnixAuthentication 。。 阅读全文

摘要： 刚才看到一篇博客，终于解决了ftp服务器在windows环境用命令行访问报错的问题了 老是报这个错，几秒后断开，后来用笔记本连手机热点网后正常了，估计也是路由器的配置问题！ PS：OK了 参考： vsftp 本地能访问，远程无法访问_运维_学习笔记-CSDN博客 阅读全文