摘要:
虚拟环境 1.虚拟环境 查看是否有虚拟环境:virtualenv --version 2.安装虚拟环境 sudo pip install virtualenv sudo pip install virtualenvwrapper 3.创建虚拟环境 mkvirtualenv 环境名称 4.安装完虚拟环 阅读全文
摘要:
装饰器作用: 比如下面一个函数: def my_hello(): print('Hello World!') my_hello() 现在有一个要求,就是在打印 Hello World! 之前先打印 WTF! 装饰器: def my_decorate(func): def inner(): print 阅读全文
摘要:
项目地址:upload-labs,github 上的的跟 docker pull 下来的不一样,docker 里面没有新的第五关,建议下载下来自己捣鼓 一句话: <?php @eval($_REQUEST['r0oki3']);phpinfo(); ?> //方便直接验证是否上传成功 第1关: 限制 阅读全文
摘要:
参考文章 浅析HTTP走私攻击 SeeBug-协议层的攻击——HTTP请求走私 HTTP 走私漏洞分析 HTTP-Request-Smuggling 简单介绍 攻击者通过构造特殊结构的请求,干扰网站服务器对请求的处理,从而实现攻击目标 前提知识 注:以下文章中的前端指的是(代理服务器、CDN、WAF 阅读全文
摘要:
从一月放假到现在已经是五月了,整整4个月的时间。回过头来反思一下自己到底干了些什么? SQL注入了解了一点,划水严重 XSS算是花的时间比较多的,但是不细,不是很深入 XXE了解个大概 CSRF/SSRF了解一个大概 在补天上交了差不多10个公益漏洞,没太大价值 写了几篇博客,没特色 看了一些书籍, 阅读全文
摘要:
卑微小吴,挖洞挖不到,关注我博客的人也才一个。正好在学点击劫持,于是想能不能造一个类似于facebook likejacking 的 cnblog likejacking 这种骚套路来骗人关注我。嗯,是个好想法! 第一步,选张羞羞的图片 例如: 第二步,建一个html文件 <!DOCTYPE htm 阅读全文
摘要:
参考文章: CORS(跨域资源共享)错误配置漏洞的高级利用 JSONP劫持CORS跨源资源共享漏洞 JSONP绕过CSRF防护token 读取型CSRF-需要交互的内容劫持 跨域资源共享 CORS 详解 cors安全完全指南 GET请求-Referer限制绕过总结 跨域 什么是跨域:当一个请求url 阅读全文
摘要:
HTTP参数污染 HPP 参考: 参数污染漏洞(HPP)挖掘技巧及实战案例全汇总 视频内容 HPP,简而言之,就是给参数赋上多个值。 比如: https://www.baidu.com/s?wd=asdqwe&wd=http参数污染 百度究竟会给出有关 asdqwe 的相关信息,还是 http参数污 阅读全文
摘要:
看完下面的几篇文章,然后从第8行开始以后的内容可以忽略!此文是个笔记梳理,是对大佬文章简单的COPY记录,方便以后查看,自己只复现了其中的例子 参考文章: PHP文件包含漏洞利用思路与Bypass总结手册1 PHP文件包含漏洞利用思路与Bypass总结手册2 PHP文件包含漏洞利用思路与Bypass 阅读全文
摘要:
XXE 参考文章 名称 地址 一篇文章带你深入理解漏洞之 XXE 漏洞 https://xz.aliyun.com/t/3357 Web Hacking 101 https://wizardforcel.gitbooks.io/web-hacking-101/content/14.html XXE学 阅读全文