1ndex

摘要： 虚拟环境 1.虚拟环境 查看是否有虚拟环境:virtualenv --version 2.安装虚拟环境 sudo pip install virtualenv sudo pip install virtualenvwrapper 3.创建虚拟环境 mkvirtualenv 环境名称 4.安装完虚拟环 阅读全文

摘要： 装饰器作用： 比如下面一个函数： def my_hello(): print('Hello World!') my_hello() 现在有一个要求，就是在打印 Hello World! 之前先打印 WTF! 装饰器: def my_decorate(func): def inner(): print 阅读全文

摘要： 项目地址：upload-labs，github 上的的跟 docker pull 下来的不一样，docker 里面没有新的第五关，建议下载下来自己捣鼓 一句话： <?php @eval($_REQUEST['r0oki3']);phpinfo(); ?> //方便直接验证是否上传成功 第1关： 限制 阅读全文

摘要： 参考文章 浅析HTTP走私攻击 SeeBug-协议层的攻击——HTTP请求走私 HTTP 走私漏洞分析 HTTP-Request-Smuggling 简单介绍 攻击者通过构造特殊结构的请求，干扰网站服务器对请求的处理，从而实现攻击目标 前提知识 注：以下文章中的前端指的是(代理服务器、CDN、WAF 阅读全文

摘要： 从一月放假到现在已经是五月了，整整4个月的时间。回过头来反思一下自己到底干了些什么？ SQL注入了解了一点，划水严重 XSS算是花的时间比较多的，但是不细，不是很深入 XXE了解个大概 CSRF/SSRF了解一个大概 在补天上交了差不多10个公益漏洞，没太大价值 写了几篇博客，没特色 看了一些书籍， 阅读全文

摘要： 卑微小吴，挖洞挖不到，关注我博客的人也才一个。正好在学点击劫持，于是想能不能造一个类似于facebook likejacking 的 cnblog likejacking 这种骚套路来骗人关注我。嗯，是个好想法！ 第一步，选张羞羞的图片 例如： 第二步，建一个html文件 <!DOCTYPE htm 阅读全文

摘要： 参考文章： CORS（跨域资源共享）错误配置漏洞的高级利用 JSONP劫持CORS跨源资源共享漏洞 JSONP绕过CSRF防护token 读取型CSRF-需要交互的内容劫持 跨域资源共享 CORS 详解 cors安全完全指南 GET请求-Referer限制绕过总结 跨域 什么是跨域：当一个请求url 阅读全文

摘要： HTTP参数污染 HPP 参考： 参数污染漏洞（HPP）挖掘技巧及实战案例全汇总 视频内容 HPP，简而言之，就是给参数赋上多个值。 比如： https://www.baidu.com/s?wd=asdqwe&wd=http参数污染 百度究竟会给出有关 asdqwe 的相关信息，还是 http参数污 阅读全文

摘要： 看完下面的几篇文章，然后从第8行开始以后的内容可以忽略！此文是个笔记梳理，是对大佬文章简单的COPY记录，方便以后查看，自己只复现了其中的例子 参考文章： PHP文件包含漏洞利用思路与Bypass总结手册1 PHP文件包含漏洞利用思路与Bypass总结手册2 PHP文件包含漏洞利用思路与Bypass 阅读全文

摘要： XXE 参考文章 名称 地址 一篇文章带你深入理解漏洞之 XXE 漏洞 https://xz.aliyun.com/t/3357 Web Hacking 101 https://wizardforcel.gitbooks.io/web-hacking-101/content/14.html XXE学 阅读全文