摘要:
核心思想: 在获取页面内容会后,用BeautifulSoup模块对页面标签进行提取,提取出页面中所有的Form表单,并进一步提取表单中的action属性(提交页面的目标URL),method属性,以及input,然后自动提交数据,实现漏洞的挖掘。 import requests from bs4 i 阅读全文
摘要:
利用默认的镜像源所安装的PHP版本比较低,为5.4,而目前很多应用比如wordpress都需要较高版本的PHP,比如7.X,本文列出如何在CentOS上安装7.X版本的PHP。 1. 添加EPEL 以及REMI的仓库 sudo yum -y install https://dl.fedoraproj 阅读全文
摘要:
在当今应用驱动的世界中, API的应用无处不在, 从银行、零售和运输到物联网、自动驾驶汽车和智能城市,API 是移动应用、SaaS 和 Web 应用程序的关键部分。 从本质上讲,API 会暴露应用程序逻辑和敏感数据,例如个人身份信息 (PII),因此越来越多地成为攻击者的目标。 如果没有安全的 AP 阅读全文
摘要:
实现原理 将子域名拼接到目标域名前面,然后通过Python代码进行访问,判断返回结果,从而跑出子域名是否存在。也就是,利用Requests模块发起对目标网站的请求,如果没有连接错误则表明该子域名存在。本代码虽然使用了多线程模块,但是在实际测试中发现更慢,可能是目标网站对并发连接实施了限制。 impo 阅读全文
摘要:
Commix 是使用 Python 开发的命令注入漏洞测试工具。 该工具旨在方便地检测请求是否存在命令注入漏洞并进行测试。 常见选项包括: 目标相关: -u URL, --url = URL target URL. 设定目标URL(即可能存在命令注入漏洞的URL) 请求相关: --data= Dat 阅读全文
摘要:
首先扫描目标有哪些开放的端口: # nmap -sV -A -sC -p- 192.168.140.164 Starting Nmap 7.92 ( https://nmap.org ) at 2022-04-14 00:16 EDT Nmap scan report for 192.168.140 阅读全文
摘要:
来自俄罗斯联邦文化部 / Министерство культуры Российской Федерации 的 230,000 封电子邮件通过 DDoSecrets 平台泄露。 泄露的数据包括三个数据集,其中最大的一个与文化部有关,大小为 446 GB(包含 230,000 封电子邮件),负责国 阅读全文
摘要:
破解HTTP POST 用户名密码: hydra -l <username> -P <wordlist> 10.10.146.211 http-post-form "/:username=^USER^&password=^PASS^:F=incorrect" -V 选项解释: -l 指定单个的用户名 阅读全文
摘要:
概述 Arjun 可以通过字典的方式找到 目标URL 的查询参数。 大家知道Web 应用程序使用参数(或查询)来接受用户输入, 比如 http://api.example.com/v1/userinfo?id=751634589。 这个 URL 似乎加载了特定用户 id 的用户信息,但是如果存在一个 阅读全文
摘要:
芬兰国防和外交事务网站今天在受到 DDoS 攻击后下线。美国国防部在格林威治标准时间上午 10 点 45 分写道:“国防部网站 http://defmin.fi 目前正受到攻击。我们目前正在调查。我们将在下面发布任何其他信息。”它接着说:“暂时,我们将关闭国防部网站,直到网站上的有害流量消失。我们所 阅读全文