摘要: 章节回顾: 《TCP/IP详解卷1:协议》第1章 概述-读书笔记 《TCP/IP详解卷1:协议》第2章 链路层-读书笔记 《TCP/IP详解卷1:协议》第3章 IP:网际协议(1)-读书笔记 《TCP/IP详解卷1:协议》第3章 IP:网际协议(2)-读书笔记 《TCP/IP详解卷1:协议》第4章 阅读全文
posted @ 2019-02-22 01:54 一切刚刚开始 阅读(262) 评论(0) 推荐(0) 编辑
摘要: 今天看到$sql = "SELECT * FROM admin WHERE pass = '".md5($password,true)."'";这样一个sql,其实可以注入。 思路比较明确,当md5后的hex转换成字符串后,如果包含'or'<trash>这样的字符串,那整个sql变成 SELECT 阅读全文
posted @ 2019-02-18 00:01 一切刚刚开始 阅读(348) 评论(0) 推荐(0) 编辑
摘要: Web安全视频 Online-Security-Videos – 红日Web安全攻防视频 Online-Security-Videos – 西安鹏程网络安全攻防课程 Online-Security-Videos – Vulhub系列视频 Online-Security-Videos – 米斯特Web 阅读全文
posted @ 2019-02-18 00:01 一切刚刚开始 阅读(685) 评论(0) 推荐(0) 编辑
摘要: 线上版本: http://evilcos.me/security_skill_tree_basic/index.html 安全技能树简版 HTTP Burp Suite https://portswigger.net/burp/ 很多时候,免费版本已经满足需求 Fiddler http://www. 阅读全文
posted @ 2019-02-17 23:58 一切刚刚开始 阅读(519) 评论(0) 推荐(0) 编辑
摘要: Java反序列化漏洞简介 Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的 ObjectOutputStream 类的writeObject()方法可以实现序列化。 Java反序列化即逆过程,由字节流还原成对象。ObjectInputStream类的readObje 阅读全文
posted @ 2019-02-17 23:58 一切刚刚开始 阅读(650) 评论(0) 推荐(0) 编辑
摘要: Firefox下 Firebug,调试js,HTTP请求响应观察,Cookie,DOM树观察等; GreaseMonkey,自己改了个Cookie修改脚本,其他同学可以用这款:Original Cookie Injector for Greasemonkey; Noscript,进行一些js的阻断; 阅读全文
posted @ 2019-02-17 23:55 一切刚刚开始 阅读(190) 评论(0) 推荐(0) 编辑
摘要: 前言 对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记语言,可以用来标 阅读全文
posted @ 2019-02-17 23:54 一切刚刚开始 阅读(238) 评论(0) 推荐(0) 编辑
摘要: XSS’OR这是一个在线免费的前端黑工具,目前主要包含 3 大模块: 1. Encode/Decode 加解密模块,包含:前端黑相关的加解密,代码压缩、解压、美化、执行测试,字符集转换,哈希生成,等。 2. Codz 代码模块,包含:CSRF 请求代码生成,AJAX 请求代码生成,XSS 攻击矢量, 阅读全文
posted @ 2019-02-17 23:54 一切刚刚开始 阅读(206) 评论(0) 推荐(0) 编辑
摘要: ★ Order by 注入本文所说的 Order by注入的题目在:Injection Flaws -> SQL injection(mitigation) -> 第8页的题目。网址为:http://127.0.0.1:8080/WebGoat/start.mvc#lesson/SqlInjecti 阅读全文
posted @ 2019-02-17 23:53 一切刚刚开始 阅读(336) 评论(0) 推荐(0) 编辑
摘要: WebGoat SQL盲注 解题思路 ★ 题目:SQL Injection (advanced)地址: http://127.0.0.1:8080/WebGoat/start.mvc#lesson/SqlInjectionAdvanced.lesson/4 题目要求最终以Tom的身份登录到系统中。 阅读全文
posted @ 2019-02-17 23:52 一切刚刚开始 阅读(691) 评论(0) 推荐(0) 编辑