随笔分类 - 安全开发
发表于 2023-05-22 00:25阅读:1615评论:9推荐:3
摘要:> 实际上大部分都是它写的,它真我哭 SQL注入扫描就是一种用于检测和预防SQL注入攻击的工具。它通过模拟SQL注入攻击的方式,向目标网站发送特定的SQL查询语句,以验证目标网站是否存在SQL注入漏洞。SQL注入扫描的过程通常分为以下几个步骤: 1. 收集信息:扫描器会首先向目标网站发送各种类型的请
阅读全文 »
发表于 2023-05-10 23:59阅读:1012评论:0推荐:0
摘要:免费虽好,勿要贪杯 前言 GPT4free的原理是从大网站的接口中当普罗米修斯,如果换一个思路,公网上很多人都部署了自己的GPT服务,如果能够把他们利用起来,实际上我们平时问问题也够用了 :) 开始之前 如果懒得自己运行的话,可以公众号后台回复 1003 ,获取十个可用的GPT网址 安装 git c
阅读全文 »
发表于 2023-05-05 00:24阅读:9149评论:14推荐:1
摘要:前言 为啥之前一直没有更新GPT相关的内容,因为个人觉得如果每次都需要使用付费使用API的话,那这个工具还是很难在个人手上被运用起来,多测试几次关键字和清洗数据,API的费用对个人来说都太高昂了 直到GPT4free出现 公众号后台回复 1002 ,获取GPT试用网址 部署使用 直接开始部署吧,别像
阅读全文 »
发表于 2023-05-05 00:23阅读:656评论:0推荐:0
摘要:来一场ARP欺骗吧(附攻击脚本) ARP简介 百度百科 地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;
阅读全文 »
发表于 2023-05-05 00:21阅读:2523评论:0推荐:0
摘要:针对github上面的靶场进行调研 先说一些个人觉得比较好的 CTFd CTF平台的鼻祖网站 项目地址:https://github.com/CTFd/CTFd 建CTF平台首选,实际上也没有太多别的选择orz CTFd是一款基于Apache2.0协议的开源CTF平台,最新版本目前为3.5.1。该平
阅读全文 »
发表于 2023-04-09 19:26阅读:2607评论:0推荐:0
摘要:听说你想用免费的FOFA?(第二弹) 上回说到 听说你想用免费的FOFA? 第二弹 记得那是一个阳光正好的午后,我刚更新了导出文件类型,到了晚上就发现fofa hack下载不了了,看了一下最新的规则,FOFA取消了永久会员,并且把注册用户的每月查询上限限制了 跟朋友讨论一番后觉得原有的爬取方式嗝屁了
阅读全文 »
发表于 2023-01-28 17:22阅读:4978评论:2推荐:3
摘要:非付费会员,fofa数据无限抓取版,配置普通用户cookie即可使用 FOFA的采集工具都陆续转变成了通过官方的API接口进行获取,例如狼组的fofa_viewer 蒽,好像已经没有我这种老年人的生存方式了,上述方式的缺点在于需要充值F币 能从最原始的方式爬取页面吗? 我创建了 https://gi
阅读全文 »
发表于 2023-01-14 22:53阅读:2034评论:0推荐:0
摘要:nmap --script 前言 我们通过nmap script来大幅扩展nmap的功能,nmap具有强大的脚本引擎NSE(Nmap Scripting Engine),它允许用户编写(和共享)简单的脚本(使用lua编程语言)自动化各种网络任务 官方文档 NSEDoc Reference Porta
阅读全文 »
发表于 2023-01-14 22:17阅读:3575评论:1推荐:0
摘要:因为有的网站被攻击之后会被攻击者悄悄挂上暗链,用来提升恶意网站的搜索权重排名,突发奇想看一下暗链扫描工具是咋做的,去github上翻了一下,这次分析Libra 项目地址:https://github.com/rabbitmask/Libra 项目功能:网站篡改、暗链、死链监测平台 这里我们只分析暗链
阅读全文 »
发表于 2022-10-22 23:52阅读:1218评论:0推荐:0
摘要:前言 如果想要对针对WiFi的攻击进行监测,就需要定期获取WiFi的运行状态,例如WiFi的SSID,WiFi强度,是否开放,加密方式等信息,在Android中通过WiFiManager来实现 WiFiManager简介 WiFiManager这个类是Android暴露给开发者使用的一个系统服务管理
阅读全文 »
发表于 2022-05-21 16:17阅读:627评论:0推荐:0
摘要:本文首发先知社区:https://xz.aliyun.com/t/11341 Bandit是一个用来检查python代码中安全问题的静态分析工具,它会处理各个各个源代码文件,解析出AST抽象语法树,然后对AST节点运行对应的插件,当Bandit扫描结束后会生成安全报告 项目地址:https://gi
阅读全文 »
发表于 2022-03-27 23:28阅读:1493评论:0推荐:0
摘要:前言 在扫描一个网站的时候,在扫描的生命周期的不同阶段有一些信息是我们想要获取的:比如在一个网站的基础信息搜集之后,我们还想对它进行端口扫描;比如我们想要检测这个网站是否存在WAF,WAF的版本,如果存在WAF的话后续的扫描就不用继续执行了;又比如在获取了一个网站中的动态URL之后,我们想要得到JS
阅读全文 »
发表于 2021-09-23 00:39阅读:3397评论:1推荐:0
摘要:前言 写这个的原因是网上关于celery+flask操作的很多博客大多停留在delay添加异步任务的阶段,但是对于任务状态的查看和卡顿任务的删除进行讲解的却很少,即便有,很多也是关于django的,对于flask操作人员不太友好 所以在这篇博客中会以最简的方式实现这两个功能 环境 celery,re
阅读全文 »
发表于 2021-03-15 21:34阅读:2534评论:2推荐:0
摘要:前言 水文 不管是使用--html-output参数还是--json-output参数,其核心都是json形式传递的漏洞详情,html格式只是更方便我们看而已,所以这里对json格式的数据进行分析 目的 方便想要在扫描器中合并xray的朋友整合漏洞报告 扫描目标 testphp.vulnweb.co
阅读全文 »
发表于 2021-02-09 23:36阅读:1691评论:0推荐:0
摘要:简介 sqlmap是一个自动化的SQL注入工具,而tamper则是对其进行扩展的一系列脚本,主要功能是对本来的payload进行特定的更改以绕过waf/ids 可以理解为,sqlmap在对漏洞网站自动化注入的时候,如果我们使用了tamper脚本,sqlmap的每个payload都会经过tamper这
阅读全文 »
发表于 2021-02-06 17:41阅读:1735评论:0推荐:0
摘要:前言 对我而言,武术的非凡之处在于它的简单。简单的方法也是正确的方法,同时武术也没有什么特别之处。越接近武术的真谛,招式表现上浪费越少 简介 python 绝技 第一章是python入门语法,两个需要编写的程序分别是用字典攻击法破解UNIX口令,暴力破解ZIP文件,两者都是使用暴力法直接进行破解,另
阅读全文 »
