Python3+qrcode+zxing生成和识别二维码教程
摘要:一、安装依赖库 pillow是python3中PIL的代替库,image是生成图版需要用到的库 安装image时报错“Could not install packages due to an EnvironmentError: [Errno 22] invalid mode ('wb') or fi
阅读全文
posted @
2018-09-30 12:00
诸子流
阅读(30295)
推荐(2) 编辑
拒绝服务(DoS)理解、防御与实现
摘要:一、说明 我一直不明白为什么拒绝服务,初学着喜欢拿来装逼、媒体喜欢吹得神乎其神、公司招聘也喜欢拿来做标准,因为我觉得拒绝服务和社会工程学就是最名不副实的两样东西。当然由于自己不明确拒绝服务在代码上是怎么个实现过程,所以虽然如此认为但不免底气不足。趁着有时间来考究一番。 二、拒绝服务定义 Denial
阅读全文
posted @
2018-09-27 17:47
诸子流
阅读(4457)
推荐(0) 编辑
那些令人迷惑的名词:切图/H5/XML/REST
摘要:长时间以来对一些名词感到很困惑,不明白其具体指什么,在此记录一下。 一、切图 1.1 原先理解 从字面意思理解,切图是指将一张大的图切割成很多张小的图片。最早(视频教程网或者我要自学网)看到的视频也是这个意思,并说切图的原因是整张图片放入界面会比较大,为了加快加载速度提升用户体验,至于去除的部分重复
阅读全文
posted @
2018-09-26 14:27
诸子流
阅读(1140)
推荐(0) 编辑
从代码角度理解什么是蜜罐
摘要:一、蜜罐概念 1.1 蜜罐的定义 百度百科:蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和
阅读全文
posted @
2018-09-15 18:23
诸子流
阅读(2781)
推荐(1) 编辑
长连接与短连接的安全差异讨论
摘要:一、长连接与短连接的定义 1.1 定义 在接解http的时候,我们或多或少都会听说过长连接和短连接的概念,有心点还会知道http默认是短连接如果要长连接可带上如下头,什么长连接节省性能从来都是不管的。 但其实除了性能,长连接和短连接在安全方面其实存在差异,这就使得渗透测试人员不得不认真了解什么是长连
阅读全文
posted @
2018-09-14 18:15
诸子流
阅读(5083)
推荐(1) 编辑
文件上传、文件包含和目路遍历杂谈
摘要:一、说明 文件上传、文件包含和目路遍历是《黑客防线》盛行的时代常谈的getshell手法,但到现在的安全书藉感觉就比较少提及或一笔带过。在谈的年代看不懂,在看得懂的年代又不谈了,概念感觉总是很模糊所以想探究一翻。 二、文件上传 以假设当前服务端具有上传图片功能为例。 2.1 文件上传的定义 文件上传
阅读全文
posted @
2018-09-14 13:41
诸子流
阅读(2594)
推荐(0) 编辑
逆向工程思路
摘要:一、说明 对于逆向工程和大多数人一样接触始于看雪的《加密与解密》,但在相当长一段时间内对于逆向的认知都只停留在PE格式、OD下断点动态调试、IDA各种窗口静态调试这几个名词上。看了一遍又一遍的书和视频,看的时候觉得很有道理,过了之后则完全没懂到底说了些什么。到后来老师引入CTF,其他人津津有味地做了
阅读全文
posted @
2018-09-13 20:48
诸子流
阅读(1278)
推荐(1) 编辑
SQL注入理解与防御
摘要:一、说明 sql注入可能是很多学习渗透测试的人接触的第一类漏洞,这很正常因为sql注入可能是web最经典的漏洞。但在很多教程中有的只讲‘或and 1=1、and 1=2有的可能会进一步讲union select、update等注入时真正用的攻击语句,但即便是后者更多的感觉像是跳到DBMS里去讲就是把
阅读全文
posted @
2018-09-11 10:45
诸子流
阅读(13308)
推荐(1) 编辑
XSS理解与防御
摘要:一、说明 我说我不理解为什么别人做得出来我做不出来,比如这里要说的XSS我觉得很多人就不了解其定义和原理的,在不了解定义和原理的背景下他们可以拿站,这让人怎么理解呢。那时我最怕两个问题,第一个是题目做得怎么样第二个是你能拿站吗。好吧这两个我都不行,从而我的渗透能力被认为是孱弱的,我自己也认为我的渗透
阅读全文
posted @
2018-09-08 11:36
诸子流
阅读(1261)
推荐(0) 编辑
利用百度语音识别接口将语音转换成文字教程
摘要:一、说明 如果有一个工具能识别音视中的语音并转换成文字输出,由于可以复制粘贴而不需要逐字逐句地打,那我们进行为音频配字幕工作时将会事半功倍。 其中的关键点是音文转换,音文转换其实在很多地方都可以看到比如qq,百度搜索,讯飞输入法等等,具体到技术而言前述的三个场景其背后的技术都是一样的,都是利用AI进
阅读全文
posted @
2018-09-07 11:51
诸子流
阅读(27638)
推荐(1) 编辑
CSRF理解与防御
摘要:一、说明 记得以前去面试技术也不太会但你总得讲点东西,让面试时间长一些让面试官觉得你基础还可以,当时选的就是名头比较大的OWASP TOP 10。TOP 10嘛你总得拿出至少三个点来讲的细一些以证明你是真的知道而不是背概念。 纵观TOP 10 注入和XSS是比较有把握的,其他什么“失效的认证和会话管
阅读全文
posted @
2018-09-05 15:18
诸子流
阅读(9305)
推荐(2) 编辑
代码审计思路
摘要:一、说明 你要问我审计过什么项目发现过什么漏洞,那还真没有。记得第一家公司的老板娘问我“你会代码审记吗”,我不懂该怎么回答。要说懂我不肯定代码审计的具体定义是什么;要说不懂我看懂了ecshop和公司的代码框架,在我认为中看懂代码和源代码审计没什么区别嘛。现在说的话,真要说区别我觉得和渗透测试是测试的
阅读全文
posted @
2018-09-01 10:04
诸子流
阅读(1697)
推荐(0) 编辑
