上一页 1 2 3 4 5 6 ··· 8 下一页
2019年6月3日
博客声明!
摘要: 如无特别说明,所发表内容均为原创,如需转发请标明转发出处! 希望在记录自己专业技能点滴成长的同时也能将一些笔记与思路拿出来与大家共享。希望大家能在评论区多多留下不通见解,好共同探讨共同进步! 阅读全文
posted @ 2019-06-03 10:04 白桦林_HK 阅读(162) 评论(0) 推荐(0) 编辑
SSL握手中win xp和SNI的那点事
摘要: SSL握手中win xp和SNI的那点事 一、背景需求server1-3使用不同的域名对外提供https服务,用nginx作为前端负载均衡器并负责https集中解密工作(以用户访问的域名为依据进行流量分配,同样的也是以域名为依据来判断应该将哪张证书丢给用户。即:SNI(Server Name Ide 阅读全文
posted @ 2019-06-03 00:18 白桦林_HK 阅读(1277) 评论(0) 推荐(2) 编辑
2019年5月31日
手工挖掘web常见漏洞时的一些经验总结
摘要: 一、前提: 漏洞挖掘原则 所有变量 所有头 cookie中的变量 逐个变量删除 漏洞的本质 数据与指令的混淆 对用户输入信息过滤不严判断失误,误将数据当指令 二、经典漏洞: 1、身份认证 常用弱口令/基于字典的密码爆破 锁定账号 信息收集 手机号(通常有以手机号为用户名的) 密码错误提示信息(用户名 阅读全文
posted @ 2019-05-31 13:11 白桦林_HK 阅读(3505) 评论(0) 推荐(0) 编辑
SQL注入神器———Sqlmap!
摘要: Sqlmap 开源,python编写 支持5种SQL注入检测技术: 1、基于布尔的注入检测 2、基于时间的注入检测 3、基于错误的注入检测 4、基于UNION联合查询的检测 5、基于堆叠查询的检测 支持的数据库管理系统(可能不支持mongodb): mysql、oracle、postgresql、s 阅读全文
posted @ 2019-05-31 13:02 白桦林_HK 阅读(1656) 评论(0) 推荐(0) 编辑
CSRF说明
摘要: CSRF: 跨站请求伪造 与XSS区别: XSS:利用用户对站点的信任 CSRF:利用站点对已经经过身份认证客户端的信任 CSRF原理(在用户非自愿、不知情的情况下提交请求): 当client已经与server建立一个正常session,黑客发来一个针对该server修改密码的链接诱使client点 阅读全文
posted @ 2019-05-31 12:58 白桦林_HK 阅读(194) 评论(0) 推荐(0) 编辑
XSS原理及其相应工具使用
摘要: XSS(厉害程度:只要js能实现什么功能,xss就能对client造成什么伤害): 原理:通过web站点漏洞,向客户端交付恶意脚本代码,实现对客户端的攻击目的 主要攻击目的(网页挂马:通过XSS向前端页面插入一个包含恶意js的链接,client访问这个页面时就同时请求执行了该恶意js,这个恶意js就 阅读全文
posted @ 2019-05-31 12:56 白桦林_HK 阅读(1450) 评论(0) 推荐(0) 编辑
几款常见web扫描器的简要记录
摘要: 一、前期侦查 为了减少和目标系统的交互(防止触发报警),建议将目标站点镜像一份到本地 httrack(镜像网站到本地) > 根据引导填入相关信息即可,使用非常简单 二、扫描 扫描分两种:一种是主动扫描,一种是截断代理 三、扫描工具 * Nikto(弱点扫描,输出结果全部为弱点项) perl语言开发的 阅读全文
posted @ 2019-05-31 12:52 白桦林_HK 阅读(2599) 评论(0) 推荐(0) 编辑
关于初级安全工程师的培训思路或大纲整理
摘要: 阅读全文
posted @ 2019-05-31 12:00 白桦林_HK 阅读(383) 评论(0) 推荐(0) 编辑
2019年5月30日
python简单处理excel方法
摘要: python自带xlrd和xlwt模块用来处理excel,但总觉得xlwt模块用着别扭,于是按自己的习惯重新封装了一个 1 # coding=utf-8 2 3 import xlrd # 读模块 4 import xlwt # 写模块 5 6 7 def read_excel(): 8 """ 9 阅读全文
posted @ 2019-05-30 17:47 白桦林_HK 阅读(1840) 评论(0) 推荐(0) 编辑
2019年5月20日
压测工具ab
摘要: 1、安装abyum install httpd-tools 2、使用ab -n 2000 -c 2 http://www.cctv.com-n:总的请求数-c:并发数-k:是否开启长连接 3、结果举例:Concurrency Level: 20 >并发数Time taken for tests: 3 阅读全文
posted @ 2019-05-20 22:42 白桦林_HK 阅读(275) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5 6 ··· 8 下一页