摘要:
安装独立的linux Python版本
Linux python3.5.2升级 Linux python卸载 阅读全文
摘要:
AI五子棋第六步。恭喜你到达第六步!
你已经成功实现了公钥体系最为关键的部分。现在服务器相信你就是你了,下面开始你的战斗。
实现从坐标表示到图形表示的算法,通过服务器的检验。 阅读全文
摘要:
公钥加解密 10进制转256 进制 Python实现 阅读全文
摘要:
快速幂模python算法 五子棋大作战step_04 阅读全文
摘要:
博客园表情符号使用 Markdown表情符号使用 Tinymce表情符号使用 Textbox表情符号使用 阅读全文
摘要:
业务逻辑漏洞 在web程序编写时,可能会留下各种各样的漏洞。最常见的就是利用Burpsuit,通过对包的拦截,对内容的修改,来利用了漏洞。 典型的例子就是电商系统。购买商品时,如果在请求包里,将购买数量做负数上传,而web应用对此没有任何过滤,那么将会出现自己收了货款的情况。 修改密码时,如果请求包 阅读全文
摘要:
1 CSRF漏洞 CSRF 跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨 阅读全文
摘要:
1 文件包含漏洞描述 开发人员编写代码时独立性好是一个很重要的要求,这边一个数据库类,那边一个模型类。几百行的整体代码,在整合时两行行代码就可以包含进来使用。文件包含有助于独立的代码之间的配合!有时引入外部一个插件,也要用到文件包含。以较少的代码量去开发整个应用。不仅方便,代码量少,还美观易阅读。 阅读全文
摘要:
1 文件上传漏洞概述 文件上传几乎是每一个web,或者说是任何 服务器客户端模式 应用的必备功能,用户在自己的文章,博文中要上相关图片。用户上传自己的头像。网盘用户上传各种文件。等等。若服务器对此没有太多的过滤,让 图片木马, .exe可执行文件, 恶意脚本 上传到服务器上,那么服务器就很有可能会沦 阅读全文
摘要:
1 PHP代码注入 1.1 原理成因 网站对用户的输入过滤出现问题,同时网站的脚本编写用到一些危险函数 eval(),assert()。如果被攻击者发现漏洞,直接可能造成攻击者完全控制整个web甚至是服务器。相当于web后门的存在。 如果服务器没有正确的配置,web用户的权限相对较高,那就不可描述天 阅读全文
摘要:
XSS漏洞描述 XSS是非常厉害的漏洞,在OWASP TOP10中榜上有名。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层 阅读全文
摘要:
SQL注入是所有WEB漏洞中最危险的攻击方式,带来的危害也是最大的。没有之一。 SQL注入基础 在编写web应用时,几乎所有的数据都存储在网站的数据库中,你的账号信息,收藏信息,文章信息等等数据都存在数据库当中。 我们常看到同一个网站,不同人登录后显示的页面是不同的,这些不同便在于不同用户所拥有的数 阅读全文
摘要:
账号密码是任何一个系统都必备的要素。 弱密码 123456 654321 112233 admin 等等 默认密码 Tomcat控制台: tomcat/tomcat 明文传输 http的明文传输,可以利用arp欺骗(ettercap),包劫持来盗取账号密码。所以现在只要是个网站都是https! 暴力 阅读全文
摘要:
前言 在获取目标主机的各类信息时,有一些综合工具可以一键扫描完成,大大方便了测试效率。但扫描结果并非100%的正确,需要我们的判断。 namp NMAP(Network Mapper)是一款开放源代码的网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络,当然用它扫描单个主机也没有问题.Nma 阅读全文
摘要:
以两个测试工具官方给出的用于工具实践的网站。一定不要拿在运营的网站做测试。 http://testfire.net http://vulnweb.com DNS信息搜集 关注域名注册商,管理员的邮箱电话等信息,还有子域名查询。子域名比较重要,因为子站点的防御没有主站点的防御强大,攻陷子站点依旧可以入 阅读全文