摘要:
1、介绍 在命令窗口中,输入命令可以获得帮助。 常用的一些命令整理: -h, --help 查看帮助信息 --version 查看版本新 -q, --quiet 退出 -v, --verbose 增加日志详情 --scripts script, -s script 这里的script是.py文件 m 阅读全文
posted @ 2023-04-18 18:31
挖洞404
阅读(407)
评论(0)
推荐(0)
摘要:
内容安全策略CSP(Content-Security-Policy)_Cacra的博客-CSDN博客_content-security-policy 1、介绍 Content-Security-Policy,简称csp,是为解决xss设计的。 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些 阅读全文
posted @ 2023-04-18 18:00
挖洞404
阅读(42)
评论(0)
推荐(0)
摘要:
1、Date 属于响应头部字段,用于表明http响应报文在服务端生成的时间,必须是GMT格式 Date: Thu, 20 Oct 2022 05:56:41 GMT 2、Expires 属于响应头部字段,声明该响应资源的过期时间,到期后客户端应该重新请求。 expires: Fri, 01 Jan 阅读全文
posted @ 2023-04-18 18:00
挖洞404
阅读(265)
评论(0)
推荐(0)
摘要:
1、Host Host属于请求头部字段,用于表示请求报文的url的主机和端口情况。 如果端口是协议默认端口,可以省略,也可以保留。 Host: www.baidu.com Host: www.hbjycg.com:8080 2、Referer referer用于表明发起请求的框架url,包含完整的u 阅读全文
posted @ 2023-04-18 18:00
挖洞404
阅读(165)
评论(0)
推荐(0)
摘要:
1、User-Agent User-Agent用于表明浏览器的情况,包括操作系统,浏览器类型及版本,浏览器内核和版本 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko 阅读全文
posted @ 2023-04-18 17:59
挖洞404
阅读(33)
评论(0)
推荐(0)
摘要:
1、协议/版本 协议一般为http,注意http报文中不区分http/https,或者只是http http版本主要有0.9、1.0、1.1和2.0,目前浏览器一般具备和使用1.1. 版本用于指导浏览器和服务器通信过程中涉及的请求方法和头部字段,一般来说,后者版本实现向前覆盖,增加请求方法和头部字段 阅读全文
posted @ 2023-04-18 17:59
挖洞404
阅读(36)
评论(0)
推荐(0)
摘要:
1、介绍 一共有九种,在请求报文中是全大写。http1.0定义head、get和post,http1.1增加其余六种。 如果在burp的repeater模块,小写请求方法,常见的是会报400异常。必须全大写 在wireshark和浏览器中,请求方法都是大写。 2、GET 用于请求资源。场景: 超链接 阅读全文
posted @ 2023-04-18 17:59
挖洞404
阅读(26)
评论(0)
推荐(0)
摘要:
1、介绍 http响应状态码在响应报文中,由服务端设置返回给客户端,是一个三位数字的代号,用于说明请求处理情况。 而描述符是一个简短的文本,与状态码一 一对应,进行简单描述。 响应状态码可以分为五类:1xx、2xx、3xx、4xx和5xx。每一个分类为整百,表示该类核心意义。 2、1xx (1)10 阅读全文
posted @ 2023-04-18 17:58
挖洞404
阅读(109)
评论(0)
推荐(0)
摘要:
1、session session机制是服务器将需要在不同请求间沟通的数据保存在服务端,这块内容称为session,而仅仅将session的id返回给浏览器,浏览器下次请求时携带id,服务端在其本地进行读取解析。 比较: 信息存储在客户端,有危险。而session的信息存储在服务端 cookie有大 阅读全文
posted @ 2023-04-18 17:56
挖洞404
阅读(49)
评论(0)
推荐(0)
摘要:
参考:https://developer.mozilla.org/zh-CN/docs/Web/HTTP 1、Accept和Content-Type (1)Accept Accept字段用于在请求中向服务器告知浏览器期待接受的mime响应类型。 对于没有文件后缀名的接口请求来说,浏览器默认是设置为* 阅读全文
posted @ 2023-04-18 17:54
挖洞404
阅读(1244)
评论(0)
推荐(0)
摘要:
HTTP | MDN (mozilla.org) 第一章 HTTP协议及网络基础 · HTTP 协议学习 · 看云 (kancloud.cn) 1、介绍 http,hypertext transfer protocol超文本传输协议,是www网络的重要组成部分,用于浏览器和服务器的应用层通信。 默认 阅读全文
posted @ 2023-04-18 17:53
挖洞404
阅读(23)
评论(0)
推荐(0)
摘要:
1、介绍 windows下的tracert命令和linux下的traceroute命令,都可以用于探测到目标网络之间的中间ip情况。 1.1 tracert命令 (1)使用帮助 target可以是ip,也可以是域名。为域名时会先由DNS进行解析,然后再测试ip (2)使用示例 *表示无返回,可能是中 阅读全文
posted @ 2023-04-18 17:41
挖洞404
阅读(47)
评论(0)
推荐(0)
摘要:
1、介绍 ping命令,Packet Internet Groper,是因特网下的一个网络探测命令,windows和linux均存在。 1.1 windows下 (1)使用帮助 target可以是ip,也可以是域名。为域名时会先由DNS进行解析,然后再测试ip (2)统计信息 可以获取: 发送数、接 阅读全文
posted @ 2023-04-18 17:41
挖洞404
阅读(50)
评论(0)
推荐(0)
摘要:
1、基本 2、https 不确定是否是wireshark自动对https的http部分进行解码,但是可以确定wireshark可以捕获https协议数据,标志是Transport Layer Security层,可以直接查看头部内容和体部内容。 阅读全文
posted @ 2023-04-18 17:39
挖洞404
阅读(20)
评论(0)
推荐(0)
摘要:
1、介绍 属于应用层协议,用于查询域名对应的ip地址。分为请求和响应报文。 一般来说,局域网中的主机查询dns,都是直接与备注的域名服务器进行通信,而不会直接与外部dns通信。 比如我这里本地主机是192.168.0.18,dns报文都是与192.168.0.1交互,即使是查询完全陌生的域名也是如此 阅读全文
posted @ 2023-04-18 17:38
挖洞404
阅读(226)
评论(0)
推荐(0)
摘要:
参考:http://c.biancheng.net/view/6399.html 1、介绍 ICMP,Internet Control Message Protocol网络控制消息协议。用于在 IP 主机和路由器之间传递控制消息,描述网络是否通畅、主机是否可达、路由器是否可用等网络状态。 一般可分为 阅读全文
posted @ 2023-04-18 17:38
挖洞404
阅读(74)
评论(0)
推荐(0)
摘要:
详解 TCP 连接的“ 三次握手 ”与“ 四次挥手 ” (baidu.com) (20 条消息) 关于三次握手和四次挥手,面试官想听到怎样的回答? – 知乎 (zhihu.com) TCP三次握手和四次挥手详解_sutong_first的博客-CSDN博客_三次握手和四次挥手 1、三次握手 (1)客 阅读全文
posted @ 2023-04-18 17:38
挖洞404
阅读(19)
评论(0)
推荐(0)
摘要:
TCP 报文详解_测试开发-海励的博客-CSDN博客_tcp报文 1、介绍 tcp,transmission control protocol传输控制协议是一种传输层协议,向上为http/https等服务,向下由ip协议支持。 2、数据格式 (1)源端口,2字节 (2)目的端口,2字节 (3)序列号 阅读全文
posted @ 2023-04-18 17:35
挖洞404
阅读(142)
评论(0)
推荐(0)
摘要:
1、介绍 udp,user datagram protocol用户数据报协议,属于传输层协议。上层是dns等应用层协议,下层是ip协议。 2、结构 (1)源端口号,2字节 (2)目标端口号,2字节 (3)总长度,2字节,单位是字节 (4)校验值,2字节,保证数据安全 3、wireshark 阅读全文
posted @ 2023-04-18 17:34
挖洞404
阅读(22)
评论(0)
推荐(0)
摘要:
1、介绍 ip数据报,也称为ip包,ip分组。 IP协议屏蔽了下层各种物理子网的差异,能够向上层提供统一格式的IP数据报。lP数据报采用数据报分组传输的方式,提供的服务是无连接方式。 tcp和udp的网络层都是基于ip数据报。 2、数据报格式 前面部分为固定的20字节,后面可变部分,长度可变 (1) 阅读全文
posted @ 2023-04-18 17:33
挖洞404
阅读(406)
评论(0)
推荐(0)
摘要:
1、介绍 mac帧是工作在数据链路层的数据格式,用于传递网络层的消息。 2、帧格式 最常用的mac帧,是以太网v2的格式 前导码,7字节,都是0x55,即0101 0101 帧起始,1字节,1010 1011 目的mac地址,6字节 源mac地址,6字节 类型,2字节,表示上一层的协议类型 ipv4 阅读全文
posted @ 2023-04-18 17:32
挖洞404
阅读(1153)
评论(0)
推荐(0)
摘要:
1、介绍 arp,address resolution protocol地址解析协议,是根据ip地址获取物理地址的一个tcp/ip协议,也是局域网中相邻主机通信使用的一个必要协议。 2、工作过程 (1)主机A期待与主机B通信,知道主机B地址。(一般主机A代表路由器或者网关设备,而主机B代表局域网中的 阅读全文
posted @ 2023-04-18 17:31
挖洞404
阅读(71)
评论(0)
推荐(0)
摘要:
1、介绍 端口是osi协议模型中第四层传输层所使用的,用于标识系统中不同任务的网络通信。 由2个字节组成,范围0-65535。一个端口可以同时被一个udp和一个tcp注册监听。 2、分类 0-1023:周知端口。 某些系统协议使用固定的端口号,它是不能被改变的,比如139 端口专门用于NetBIOS 阅读全文
posted @ 2023-04-18 17:29
挖洞404
阅读(49)
评论(0)
推荐(0)
摘要:
1、介绍 ipv4地址是一组32位比特组成的地址,用于在OSI协议的第三层标识网络设备身份。 一般采用点分十进制书写。比如127.0.0.1。 2、网络号和主机号 一个ip地址的32位可以分为网络号和主机号两个部分,将庞大的网络整体分为多个网络号管理的小型局域网络,主机号则是该子网络下的主机分配。由 阅读全文
posted @ 2023-04-18 17:28
挖洞404
阅读(162)
评论(0)
推荐(0)
摘要:
1、介绍 MAC地址,media access control address媒体访问控制地址,也称为局域网地址、以太网地址、物理地址。用于OSI模型中的第二层数据链路层,以网卡的形式为局域网中的网络设备(主机)进行标识身份。 如果网络设备有多个网卡,则每个网卡都需要一个唯一的MAC地址。 2、组成 阅读全文
posted @ 2023-04-18 17:27
挖洞404
阅读(93)
评论(0)
推荐(0)
摘要:
1、介绍 dns,domain name system域名系统,是为了解决ip地址不方便记忆和描述,也不支持跨ip,跨地区部署的问题。 2、域名 域名是分级进行管理,各级域名之间使用.进行分隔。 一级域名也称为顶级域名由特定机构管理。 com top cn … 3、域名注册和使用 (1)准备ip和主 阅读全文
posted @ 2023-04-18 17:25
挖洞404
阅读(8)
评论(0)
推荐(0)
摘要:
1、介绍 https,Hypertext Transfer Protocol Secure超文本传输协议安全层。 HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全 阅读全文
posted @ 2023-04-18 17:25
挖洞404
阅读(19)
评论(0)
推荐(0)
摘要:
1、定义 计算机网络:由计算机终端和连接用线路、中间设备组成的网络,作用的共享、互连。 internet:互联网 Internet:因特网,最大的互联网 WWW:由http、https为核心协议,浏览器-服务器组成的网络。是Internet的一部分。 2、网络类型 个人网、局域网、城域网 3、网络分 阅读全文
posted @ 2023-04-18 17:22
挖洞404
阅读(35)
评论(0)
推荐(0)
摘要:
1、介绍 典型的响应拆分漏洞,是指的http响应字段拆分漏洞。 即服务端动态将参数写入返回给用户的响应的头部字段中,该参数可以被攻击者控制,使包含\r\n这两个用于分隔不同响应头部行的字段或者\r\n\rn用于分隔响应头部与响应体部字段,同时写入响应过程未被阻止,那么用户接收到响应时,浏览器就会错误 阅读全文
posted @ 2023-04-18 16:46
挖洞404
阅读(85)
评论(0)
推荐(0)
摘要:
mitmproxy介绍、特征、工具以及示例 – pytorch中文网 (ptorch.com) 1、介绍 mitmproxy是一个python的项目,可以实现为HTTP/1,HTTP/2和WebSockets提供交互式的,具有SSL/TLS功能的拦截代理。 基于pip进行安装,然后可以提供三种形式的 阅读全文
posted @ 2023-04-18 15:04
挖洞404
阅读(225)
评论(0)
推荐(0)
摘要:
windows c:/boot.ini //查看系统版本 c:/windows/php.ini //php配置信息 c:/windows/my.ini //MYSQL配置文件,记录管理员登陆过的MYSQL用户名和密码 c:/winnt/php.ini c:/winnt/my.ini c:\mysql 阅读全文
posted @ 2023-04-18 15:00
挖洞404
阅读(34)
评论(0)
推荐(0)
摘要:
1、初始 在授权情况下,从客户获取测试的主体、域名、ip、端口和路径信息。 2、主体、域名和ip 2.1 主体 主体是指的工商备案的公司或组织,据此可以查询官网和备案域名。 2.2 域名 一个主体下可能有多个域名,包括不同的二级域名、一级域名以及子域名。 搜索引擎,site语法 一级域名和子域名爆破 阅读全文
posted @ 2023-04-18 12:21
挖洞404
阅读(12)
评论(0)
推荐(0)
摘要:
1、介绍 这是pyqt的消息框组件,可以弹窗错误报告、警告、信息提示、询问对话框。 2、错误报告 QMessageBox.critical( self.ui, '错误', '请选择爬取数据存储路径!') 3、警告 QMessageBox.warning( self.ui, '阅读太快', '阅读客户 阅读全文
posted @ 2023-04-18 11:15
挖洞404
阅读(353)
评论(0)
推荐(0)
摘要:
1、介绍 这是pyqt的对话框输入组件。 2、使用 getText弹出对话框,让用户输入 单行文本 getMultiLineText弹出对话框,让用户输入 多行文本 getInt弹出对话框,让用户输入 整数 getItem弹出对话框,让用户选择 选项 from PySide2.QtWidgets i 阅读全文
posted @ 2023-04-18 11:14
挖洞404
阅读(123)
评论(0)
推荐(0)
摘要:
1、介绍 这是pyqt的文件选择窗口。 2、使用 (1)单一文件选择 getOpenFileName(parent: QWidget = None, caption: str = '', directory: str = '', filter: str = '', initialFilter: st 阅读全文
posted @ 2023-04-18 11:13
挖洞404
阅读(61)
评论(0)
推荐(0)
浙公网安备 33010602011771号