摘要:
判断是否存在SQL注入 ' and 1=1 and 1=2 暴字段长度 Order by 数字 匹配字段 and 1=1 union select 1,2,..,n 暴字段位置 and 1=2 union select 1,2,..,n 利用内置函数暴数据库信息 version() database 阅读全文
摘要:
米斯特白帽培训讲义 信息收集 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 收集什么? Whois信息 注册人名字、邮箱等IP信息(服务器的IP) 判断是否为CDN节点,查询同IP网站,端口扫描目录信息 判断WEB应用,获取网站后台目录,获取其他服务信息 判断服务,例如: 阅读全文
摘要:
米斯特白帽培训讲义 漏洞篇 第三方风险 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 域名商 域名商就是提供域名购买的站点。我们可以通过站长工具的 WHOIS 查询来查询域名商,比如这里我们查询www.hi-ourlife.com的域名商: 我们可以得知,该域名是在万网注 阅读全文
摘要:
米斯特白帽培训讲义 漏洞篇 文件包含 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 原理 文件包含就是将一个文件包含到自己的文件中执行。它可分为本地包含和远程包含,本地包含即包含本地磁盘上的文件,文件名称是相对路径或绝对路径,远程包含即包含互联网上的文件,文件名称是 UR 阅读全文
摘要:
米斯特白帽培训讲义 漏洞篇 文件上传 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 我们首先看一下文件上传的流程图。 其中,浏览器通过上传页面将文件储存到服务器中。一般这些上传页面都会有限制(比如限制格式为jpg/gif/png等等,或者限制文件大小)。 我们所关注的这个 阅读全文
摘要:
米斯特白帽培训讲义 漏洞篇 XSS 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS 。恶意攻击者往 阅读全文
摘要:
米斯特白帽培训讲义 漏洞篇 弱口令、爆破、遍历 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 成因 弱口令没有严格和准确的定义,通常认为容易被别人(它们有可能对你很了解)猜测或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如”123”、”abc 阅读全文
摘要:
7.2.6 Theano如何处理形状信息 译者:Python 文档协作翻译小组,原文:How Shape Information is Handled by Theano。 本文以 CC BY-NC-SA 4.0 协议发布,转载请保留作者署名和文章出处。 Python 文档协作翻译小组人手紧缺,有兴 阅读全文
摘要:
7.2.5 循环 译者:Python 文档协作翻译小组,原文:Loop。 本文以 CC BY-NC-SA 4.0 协议发布,转载请保留作者署名和文章出处。 Python 文档协作翻译小组人手紧缺,有兴趣的朋友可以加入我们,完全公益性质。交流群:467338606。 Scan 重复的一般形式,可用于循 阅读全文
摘要:
7.2.4 条件 译者:Python 文档协作翻译小组,原文:Conditions。 本文以 CC BY-NC-SA 4.0 协议发布,转载请保留作者署名和文章出处。 Python 文档协作翻译小组人手紧缺,有兴趣的朋友可以加入我们,完全公益性质。交流群:467338606。 IfElse和Swit 阅读全文