09 2021 档案
摘要:读写文件是指请求操作系统打开一个文件对象 ,然后通过系统提供的接口从这个文件对象中读取数据(读文件),或者把数据写入这个文件对象(写文件)。 读文件 文件打开后,使用完毕必须关闭,因为文件对象会占用操作系统资源,并且操作系统同一时间能打开的文件数量是有限的。 Python使用 with 语句来自动帮
阅读全文
摘要:同源策略 概念 浏览器的同源策略(Same Origin Policy),限制了来自不同源的“document”或脚本,对当前“document”读取或设置某些属性。所谓“同源”指的是“三个相同”。 协议相同 域名相同 端口相同 例如,http://www.example.com/dir/page.
阅读全文
摘要:今天和大家分享几个Excel的快速操作技巧,提升表格制作效率,一起和加班说拜拜~ 一、正常填充公式操作法 1、拖拉法 当需要批量填充公式的时候,很多小伙伴都是直接向下拖动,知道填充完所有数据的,说的是不是你? 其实除了简单粗暴的托拉法,还有以下几种填充公式的方法,更加的高效便捷! 2、双击法 当我们
阅读全文
摘要:渗透测试报告是对渗透测试进行全面展示的一种文档表达。 表达项目成果的一种方式 让客户能够通过渗透测试报告获取信息 合同约束 大致包含五个部分: 概述 漏洞扫描 渗透结果 测试结果 安全建议 撰写路线: 以攻击路径为线进行撰写(完整的由外到内渗透) 以漏洞危害等级分类撰写(在) 需要避免的点: 漏洞描
阅读全文
摘要:互联网本来是安全的,自从有了研究安全的人后,互联网就变得不安全了。 安全要素 机密性——保护数据内容不泄露,加密是常见手段 完整性——保护数据内容完整、没有被篡改,常见手段是数字签名 可用性——保护资源“随需而得” 可审计性 不可抵赖性 安全评估 过程: 资产等级划分-->威胁分析-->风险分析--
阅读全文
摘要:sqlmap可以用来检测和利用sql注入点。 Options(选项): -h, --help 显示基本帮助信息 -hh 显示高级帮助信息 --version 显示版本号 -v VERBOSE 详细级别:0-6(默认为1).设置输出信息的详细程度 0:只显示追踪栈 ,错误以及重要信息。1:还显示信息和
阅读全文
摘要:寻找注入点 可能存在SQL注入漏洞的URL类似形式: http://xxx.xxx.xxx/abcd.php?id=XX 单引号判断法——在参数后面加上单引号 如果页面返回错误,则存在SQL注入 数字型判断——and 1=1和and 1=2 在URL地址后加 and 1=1 ,页面依旧正常,进行下一
阅读全文
摘要:靶场:https://rimovni.exeye.run/mefe/login? 此靶场是一个登录界面,如图所示 初步验证发现账号和密码处,存在注入点,使用手工注入的方式失败,查找网上的资料,发现一个利用Burp与sqlmap结合的方案实现SQL注入。(手工方式后续再进行尝试) 1.Burp抓包 在
阅读全文
摘要:SQL注入 未对用户输入进行检查,使得用户输入可以执行SQL语句 SQL注入可以分为报错注入,Union注入,时间盲注,布尔盲注,堆叠注入等。 注入步骤: graph LR 寻找注入点--> 判断注入类型--> 猜解数据库名--> 猜解数据表名--> 猜解数据字段名 威胁 猜解后台数据库,盗取网站的
阅读全文
摘要:渗透测试是通过模拟黑客的攻击方法来评估计算机网络系统的安全问题。 渗透测试可以分为三种不同的类型:黑盒渗透测试,白盒渗透测试和灰盒渗透测试。 黑盒渗透测试——没有提供要测试的应用程序的许多信息。 白盒渗透测试——获得有关网络,系统或应用程序的完整信息以及源代码等信息。 灰盒渗透测试——获得应用程序或
阅读全文
