摘要:
Python目录遍历 参考链接:https://www.leavesongs.com/PYTHON/pythonfile.html 1.作用 查找黑客上传的webshell 2.开头添加# -*- coding=UTF-8 -*-,可以#加中文不报错 3.多行注释 选中代码,按住ctrl+/多行注释 阅读全文
摘要:
p神之webshell禁止执行 参考链接:https://www.leavesongs.com/PENETRATION/refuseshell.html 总结: 1.从源头可以通过限制上传类型来禁止黑客上传木马获取webshell,常见的前端和后台限制。也可以在结果发生后,不允许webshell执行 阅读全文
摘要:
培训-中科大web安全技术课件 1课程简介 1 基础知识 1.1 褚论 1.2 web的简明历史 1.3 同源策略 1.4 http与cookie 2 web客户端安全 2.1 owasp top ten 2.2 xss与csrf 2.3 clickjacking 2.4 浏览器与扩展安全 2.5 阅读全文
摘要:
xss1.XSS姿势——文件上传XSS https://wooyun.x10sec.org/static/drops/tips-14915.html总结: 1.1.文件名方式,原理:有些文件名可能反应在页面上,带有xss命令的文件可以起到攻击作用 实例:pikachu靶机文件上传后,会有提示文件名上 阅读全文
摘要:
ssh 1.搭建 linux自带 2.经典漏洞 2.1防火墙ssh后门:https://www.secpulse.com/archives/69093.html 2.2 28退格 输入账号时,连续28下退格键 https://www.ithome.com/html/it/195990.htm 2.3 阅读全文
摘要:
端口与服务-ftp服务 1概述 1.1.从先知和乌云上爬取端口历史漏洞报告,总结报告 1.2.全面总结,出具一个表格之类的汇总表 2.ftp # -*- coding: utf-8 -*- import requests,re,sys def wooyun_chax(keywords,page): 阅读全文
摘要:
1关注内容 Whois信息,真实IP,子域,端口,服务,关联度高的目标,备案,企业资料,历史漏洞,员工邮箱等 2.kali下的信息收集 2.1 kali查询whois信息 使用:Whois baidu.com,目的:可以查询到注册人邮箱,联系方式,dns,注册时间和结束时间,利用邮箱和联系方式生成密 阅读全文
摘要:
下载地址:https://github.com/githubmaidou/tools 阅读全文