摘要:
1. 过程(不查看源代码) 使用burpsuite或者owasp zap抓取数据包,可以看出页面执行过程如下: 首先获取上一次请求的token,然后sleep几秒,最后使用get方法提交验证。 2. 原理 访问暴力破解的页面,获取token; 带入参数再次访问该页面进行破解。 3. 仿照 搜索类似代 阅读全文
摘要:
注:本文是学习网易Web安全进阶课的笔记,特此声明。 只有后一个SELECT语句可以使用Order by 只有后一个SELECT语句可以使用LIMIT 阅读全文
摘要:
注:本文是学习网易Web安全进阶课的笔记,特此声明。 一、信息搜集 — 数据库类型 - 报错信息、特有语句— 数据库版本(@@version,$version)— 数据库用户— 判断数据库权限 二、数据获取 — 获取库信息 - 当前库、所有库— 获取表信息— 获取列信息— 获取数据 三、权限提升 — 阅读全文
摘要:
注:本文是学习网易Web安全进阶课的笔记,特此声明。 其他数据库也可以参考寻找注入点。 A: 一、信息搜集(百度) 1、无特定目标 inurl:.php?id= 2、有特定目标 inurl:.php?id= site:target.com 3、工具爬取 spider,爬取搜索引擎的搜索结果或目标网站 阅读全文
摘要:
更新日志:2017-10-07 11:47:02 在学习了《大学计算机》后,整理了思维方式 作为一个草莽出身的开发者,在学习《大学计算机》后,了解到自己没有计算思维,完全是靠着一点小聪明在写脚本,抄代码而已。 现代科学分工已经很精细了,想要有所成就,必须经过专门的训练+长期的努力研究,才有可能,嗯, 阅读全文
摘要:
《快速阅读术》 【日】印南敦史 著,王宇新 译,中信出版集团 本书适用范围:商业书籍,时下的新书,内容是论述事实、阐明主张,没有故事情节。 每天固定时间阅读,最好在早晨。 将书籍分类:不必读,可快读,不可快读。 同时阅读多本书,慢读、快读的书结合来读。快慢比例9:1。整理要读的书时确定是快读还是慢读 阅读全文
摘要:
标准库(内置模块) time与datetime 模块 时间表示方式 1.时间戳 2.格式化的字符串 3.元组形式 时间戳就是一个秒数 x=time.time(),从1970年1月1日0时0分0秒到现在的秒数 x/3600/24/365:年数,1970+年数,今年(近似) time.struct_ti 阅读全文
摘要:
json序列化 将系统的某个状态保存为字符串(挂起),序列化。 import json json.dumps():序列化 json.loads():反序列化 简单类型数据处理 import pickle pickle.dumps() pickle.loads() 可以处理所有类型,二进制数据,需要r 阅读全文
摘要:
装饰器 本质是函数,装饰其他函数,为其他函数添加附加功能 原则: 1不修改原函数的源代码 2不修改原函数的调用方式 知识储备: 1函数即变量 使用门牌号的例子说明函数,调用方式与变量一致 2高阶函数 bar() bar(内存地址门牌号,指针) 例子:在不修改源码的情况下附加功能,把一个函数当做实参传 阅读全文
摘要:
在Pycharm中编辑文本文件,如果使用\r\n会产生两个空行? exit("xxx),会导致Process finished with exit code 1,所以如果要输入信息然后退出,应采用如下方式: 1 print("xxx") 2 exit() 阅读全文