alumm0x

摘要： 0x00 简介 由于浏览器的同源策略，我们想要从别的域获取数据变得困难，需要特殊的技术才能获取 0x01 使用 客户域：client.com 服务器(他域)：server.com 如客户想访问 : http://server.com/try/ajax/jsonp.php?jsonp=callback 阅读全文

摘要： 0x00 简介 Service Worker 是 Chrome 团队提出和力推的一个 WEB API，用于给 web 应用提供高级的可持续的后台处理能力。该 WEB API 标准起草于 2013 年，于 2014 年纳入 W3C WEB 标准草案，当前还在草案阶段。 Service Worker 最 阅读全文

摘要： 0x00 XSS Rootkit介绍 Rootkit概念: 一种特殊的恶意软件 类型: 常见为木马、后门等 特点: 隐蔽 持久控制 谈到XSS，一般都是想到反射型、存储型及dom xss，脑海中往往就是点击链接然后弹窗的形式，这次学习的是ROORKIT XSS（持久化XSS），就是通过某些手段嵌入一 阅读全文

摘要： 0x00 安装 下载：http://dl.mongodb.org/dl/win32/x86_64 安装：http://www.runoob.com/mongodb/mongodb-window-install.html 0x01 MongoDB语法 我们先学习下MongoDB的使用，知己知彼，方能百 阅读全文

摘要： 注：python3环境试验 0x00 使用参数格式化{:2%} {:.2%}： 显示小数点后2位 {:.0%}： 不显示小数点 0x01 格式化为float {:.2f}%：显示小数点后2位 {:.0f}%： 不显示小数点 0x02 补充说明 { } 的意思是对应format()的一个参数，按默认顺 阅读全文

摘要： 我这里说明两种方式的进度条 0x00 使用 \r 做输出结尾 先看个例子 上面例子关键点是输出字符串的结尾是回车符\r，就因为这个才能在原地更新进度 知识补充： \n是换行，英文是New line \r是回车，英文是Carriage return 机械打字机有回车和换行两个键作用分别是: 1、换行就 阅读全文

摘要： 0x00 介绍 SSRF 全名叫 服务器请求伪造（Server-Side Request Forgery），是不是感觉很熟悉~~是的，跟CSRF类似，只是SSRF的恶意请求是服务器发起； 所以这个可以请求到与外网隔离的内网系统，这个就是攻击目标了。 主要产生原因就是服务器端的验证并没有对其请求做出严 阅读全文

摘要： 0x00 安装 所需软件： 1、burpsuite 2、xssvalidator 源码：https://github.com/nVisium/xssValidator（按照编译指导编译） burpsuite_BApp：https://portswigger.net/bappstore/bapps/d 阅读全文

摘要： 我们使用工具分析出存在csrf漏洞时，可以快速生成这个请求的poc，下面我们来看看怎么快速生成 0x00 上图是通过proxy，点击action，选择上图的选项即可生成这个请求的CSRF Poc了 当然不只是proxy有这个选项 target、Repeater等，只要展示请求信息的都有这个选项，下面 阅读全文

摘要： 一般过程： 1、加载驱动，这里使用Class.forName 2、连接数据库 3、创建一个Statement对象，执行SQL语句，或者PreparedStatement（预编译，防SQL注入） 4、输出查询结果 5、关闭连接 阅读全文