摘要:
A1:2017 - 注入 漏洞描述: 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命令或访问数据。 漏洞影响: 注入能导致数据丢失、破坏或泄露给无授权方,缺 阅读全文
摘要:
大概思路:通过遍历字典的方式执行zipfile模块的extractall方法执行解压操作,实现爆破操作。 1、先来个常规的解压操作 提前准备了'2323.zip'文件,并设置解压密码为‘123’,使用extractall方法实现解压。 1 import zipfile 2 zfile = zipfi 阅读全文
摘要:
0x00 漏洞概述 任意文件上传漏洞主要是由于程序员在开发文件上传功能时,没有考虑对文件格式后缀的合法性进行校验或只考虑在应用前端(Web 浏览器端)通过 javascript 进行后缀校验,攻击者可上传一个包含恶意代码的动态脚本(如 jsp、asp、php、aspx 文件后缀)到服务器上,攻击者访 阅读全文
摘要:
漏洞定义 不安全的直接对象引用,也被称IDOR。IDOR允许攻击者绕过网站的身份验证机制,并通过修改指向对象链接中的参数值来直接访问目标对象资源,这类资源可以是属于其他用户的数据库条目以及服务器系统中的隐私文件等等。导致这种情况出现的原因是,系统在接受用户输入并利用输入信息获取对象之前没有对用户身份 阅读全文
摘要:
转载于:https://blog.csdn.net/rebelqsp/article/details/22109925 1、Socket 类型 套接字格式: socket(family,type[,protocal]) 使用给定的地址族、套接字类型、协议编号(默认为0)来创建套接字。 socket类 阅读全文
摘要:
总体思路: 调用了socket模块并用connect()函数链接了相应的IP和端口号,用send()函数发送数据并用recv()函数检查响应. 1 # -*- coding:utf-8 -*- 2 3 __author__='Dou—wei' 4 5 import socket 6 import s 阅读全文
摘要:
总体思路: os.path.abspath('.') #获取当前路径 os.listdir #获取指定的文件夹包含的文件或文件夹的名字的列表 os.path.join #用获取的文件名拼接路径 os.path.isdir #判断路径是否为目录,用于递归 1 # -*- coding:utf-8 -* 阅读全文
摘要:
Python Socket编程中端口被占用的解决方法 转载于:https://blog.csdn.net/appleyuchi/article/details/78071640 使用Python Socket编程的时候,可能会遇到 python socket.error: [Errno 48] Ad 阅读全文