无风ins

摘要： 0x00 bp代理抓不了包 提示：您目前无法访问 xxx.com，因为此网站使用了 HSTS。网络错误和攻击通常是暂时的，因此，此网页稍后可能会恢复正常。 0x01 解决方案 在（谷歌）浏览器输入：chrome://net-internals/#hsts 在此处输入域名，点击delete删除，即可用 阅读全文

摘要： 前言：什么是waf？ Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 0x00 waf拦截 阅读全文

摘要： HTTP数据包 简介：由w3c制定的一种网络应用层协议，定义了浏览器与web服务器之间通信时所使用的数据格式。 0x00 数据包格式 1、请求行：请求类型/请求资源路径、协议的版本和类型 2、请求头：一些键值对，一般有w3c定义，浏览器与web服务器之间都可以发送，表示特定的某种含义 3、空行：请求 阅读全文

摘要： kali 之网络桥接 前言：之前一直选择的是nat模式，不知道我的什么神操作，kali的网络突然就挂掉了，然后就是重启，配置，一直轮训下去，还是ping不通主机，搞得心态差点爆炸，于是乎就放弃了nat模式，选择了网桥。 0x00 选择桥接模式，我这里选择的是自动桥接，也可以选择直接桥接到主机网卡 0 阅读全文

摘要： 0x00 sqlmap简介：sqlmap是一款针对sql漏洞的自动化注入工具，有一个非常棒的特性，即对检测与利用的自动化处理（数据库指纹、访问底层文件系统、执行命令）。 官方网站下载http://sqlmap.org/ sqlmap基于python环境下使用，可运行于win系统和linux系，主要是 阅读全文

摘要： Sql注入--数字型手工测试 漏洞原因：是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。 从而导致数据库受损（被脱裤、被删除、甚至整个服务器权限沦陷） 测试语句： 直接加参数判断 ‘ / \ （有报错代表可能有注入 阅读全文