摘要: http://bigdragon.iteye.com/blog/1626847URI encode的过程就是把部分的url做为字符,按照某种编码方式(如:utf-8,gbk等,各浏览器不同)编码成二进制的字节码,然后每个字节用一个 包含3个字符的字符串 “%xy” 表示,其中xy为该字节的两位十六进... 阅读全文
posted @ 2014-07-10 14:19 w_s_xin 阅读(456) 评论(0) 推荐(0) 编辑
摘要: 检测攻击,用的 都是ASCII可表示的可见字符,所以unicode对这些字符编码都是一样的,不同的是各个语言,所以我们解码就简单了:只是针对%uxxxx (%u00xx 和 %uFFxx)全角数字(0-9) uFF10 - uFF19全角大文字(A-Z): uFF21 - uFF3A全角小文字(a-... 阅读全文
posted @ 2014-07-10 11:57 w_s_xin 阅读(215) 评论(0) 推荐(0) 编辑
摘要: http://www.sectoolmarket.com/price-and-feature-comparison-of-web-application-scanners-unified-list.html 阅读全文
posted @ 2014-07-03 17:37 w_s_xin 阅读(199) 评论(0) 推荐(0) 编辑
摘要: skipfish -o xx -C "security=low" -C "PHPSESSID=h70e76i4754ni0hm4m7gvjbm60" http://192.168.135.6/dvwa/vulnerabilities/sqli/ 阅读全文
posted @ 2014-07-03 17:27 w_s_xin 阅读(146) 评论(0) 推荐(0) 编辑
摘要: nikto -host http://扫描出服务器的版本漏洞 阅读全文
posted @ 2014-07-03 16:56 w_s_xin 阅读(101) 评论(0) 推荐(0) 编辑
摘要: JSQL injection 没用明白 阅读全文
posted @ 2014-07-03 16:45 w_s_xin 阅读(652) 评论(0) 推荐(0) 编辑
摘要: joomscan -u http://192.168.234.132:8888/dvwa/ -c security=low; PHPSESSID=h70e76i4754ni0hm4m7gvjbm60不会分析抓取发固定的包 阅读全文
posted @ 2014-07-03 16:33 w_s_xin 阅读(177) 评论(0) 推荐(0) 编辑
摘要: 加不了用户名密码-h, --help show this help message and exit -u ARCHIVES_URL, --url=ARCHIVES_URL Adress to investigate -s, --sql ... 阅读全文
posted @ 2014-07-03 16:22 w_s_xin 阅读(117) 评论(0) 推荐(0) 编辑
摘要: 插件形式的扫描器:https://github.com/golismero/golismero使用:golismero scan http://192.168.234.132:8888/dvwa啥没扫出来 阅读全文
posted @ 2014-07-03 16:08 w_s_xin 阅读(316) 评论(0) 推荐(0) 编辑
摘要: 测试LFI和RFI的工具,用它来测试dvwa的漏洞,fimap -u 'http://192.168.234.132:8888/dvwa/vulnerabilities/fi/?page=include.php' --cookie="security=low; PHPSESSID=h70e76i47... 阅读全文
posted @ 2014-07-03 11:11 w_s_xin 阅读(421) 评论(0) 推荐(0) 编辑