上一页 1 2 3 4 5 6 ··· 8 下一页
摘要: # 一、安全 ### 1、SQL注入的原理是什么 用户可控的参数拼接到SQL语句中,导致数据操作时执行了额外的SQL语句。 ### 2、SQL盲注有哪些类型,盲注如何利用 SQL盲注一般分为基于布尔的盲注和基于时间的盲注。 时间盲注相关函数:BENCHMARK(100000,MD5(1)) 、sle 阅读全文
posted @ 2021-08-23 13:15 1ink 阅读(37) 评论(0) 推荐(0) 编辑
摘要: 1.拿到一个待检测的站,你觉得应该先做什么? 参考43 2.mysql 的网站注入,5.0 以上和 5.0 以下有什么区别? 5.0 以下没有 information_schema 这个系统表,无法列表名等,只能暴力跑表名; 5.0 以下是多用户单操作,5.0 以上是多用户多操做。 MySQL5.0 阅读全文
posted @ 2021-08-23 13:12 1ink 阅读(392) 评论(0) 推荐(0) 编辑
摘要: 常用命令 echo 用于在终端输出字符串或变量提取后的值 date 按照默认格式查看当前系统时间 date "+%Y-%m-%d %H:%M:%S" 按照“年-月-日 小时:分钟:秒”的格式查看当前系统时间 date -s “时间”设置系统的当前时间 ​ date "+%j" 查看今天是当年中的第几 阅读全文
posted @ 2021-08-23 12:02 1ink 阅读(145) 评论(0) 推荐(0) 编辑
摘要: 常用表达式 字符 描述 \d 代表任意数字,就是阿拉伯数字 0-9 这些玩意。 \D 大写的就是和小写的唱反调,\d 你代表的是任意数字是吧?那么我 \D 就代表不是数字的。 \w 代表字母,数字,下划线。也就是 a-z、A-Z、0-9、_。 \W 跟 \w 唱反调,代表不是字母,不是数字,不是下划 阅读全文
posted @ 2021-08-23 09:12 1ink 阅读(112) 评论(0) 推荐(0) 编辑
摘要: requests requests 是在 urllib 的基础上搞出来的,通过它我们可以用更少的代码,模拟浏览器操作,使用比urllib方便 对于不是 python 的内置库 我们需要安装一下,直接使用 pip 安装pip install requests 导入 requests 模块 import 阅读全文
posted @ 2021-08-23 08:53 1ink 阅读(110) 评论(0) 推荐(0) 编辑
摘要: 使用__slots__ 正常情况下,当我们定义了一个class,创建了一个class的实例后,我们可以给该实例绑定任何属性和方法,这就是动态语言的灵活性。先定义class: class Student(object): pass 然后,尝试给实例绑定一个属性: >>> s = Student() > 阅读全文
posted @ 2021-08-23 07:55 1ink 阅读(75) 评论(0) 推荐(0) 编辑
摘要: 网络爬虫是捜索引擎(Baidu、Google、Yahoo)抓取系统的重要组成部分。主要目的是将互联网上的网页下载到本地,形成一个互联网内容的镜像备份。 网络爬虫的基本工作流程如下: 首先选取一部分精心挑选的种子URL; 将这些URL放入待抓取URL队列; 从待抓取URL队列中取出待抓取在URL,解析 阅读全文
posted @ 2021-08-22 12:23 1ink 阅读(741) 评论(0) 推荐(0) 编辑
摘要: 类和实例 面向对象最重要的概念就是类(Class)和实例(Instance),必须牢记类是抽象的模板,比如Student类,而实例是根据类创建出来的一个个具体的“对象”,每个对象都拥有相同的方法,但各自的数据可能不同。 仍以Student类为例,在Python中,定义类是通过class关键字: cl 阅读全文
posted @ 2021-08-18 12:12 1ink 阅读(60) 评论(0) 推荐(0) 编辑
摘要: 黑盒测试 两个输入框,分别输入1,2看看 这是在拼接吗? 闭合一下试试 看到被实体编码了 unicode编码绕过试试,将<进行编码 &被过滤了 无从下手 源码分析 提示也看不懂 看看源码:进行了实体转义,没了 百度 太邪门了,看源码也不知道怎么做,看看大佬的分析: aaaa\和=1;alert(1) 阅读全文
posted @ 2021-08-15 19:37 1ink 阅读(90) 评论(0) 推荐(0) 编辑
摘要: WooYun-2012-15969 黑盒测试 输入<script>alert(/xss/)</script>,啥也没显示 看看前端,被引号包裹,要把引号闭合掉 更改为";alert(/xss/)源码中看到"被转义,题目写的GBK,猜测用的%df宽字节绕过 这里发现在输入框中填%df没有反应 在url 阅读全文
posted @ 2021-08-15 18:58 1ink 阅读(82) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5 6 ··· 8 下一页