摘要:
1、介绍 pyttsx3模块是python的一个第三方模块,作用是进行语音合成。 无需请求api,本地合成,可以不受次数和字数限制 技术相对成熟,应用广泛,使用方便 2、pyttsx3.speak函数 import pyttsx3 pyttsx3.speak('你指尖跃动的电光,是我此生不灭的信仰' 阅读全文
摘要:
1、介绍 对于反射型和存储型xss来说,一般要求响应类型为text/html,然后进一步测试敏感字符和构造payload。 测试过程中,逐个日志进行查看。如果响应类型是application/javascript等其它非text/html的文本类型,直接构造payload的话浏览器并不会将其作为ht 阅读全文
摘要:
1、介绍 该漏洞是由于nginx配置导致的漏洞,所以无关nginx的版本。 由于配置中使用了$uri变量,该变量为请求url的path部分,默认会进行url解码操作。导致变量嵌入响应头部字段时,出现CRLF响应拆分漏洞。可以进行url重定向,设置cookie或者写入脚本。 2、业务场景 控制payl 阅读全文
摘要:
1、变量 $request_method 请求方法 $host 来自请求行的主机名,来自主机请求头字段的主机名,或匹配请求的服务器名。 $uri 请求url的path部分,自动进行url解码。可能造成响应拆分漏洞 $remote_port 客户端端口 $request 完整的请求行 2、常见配置示例 阅读全文
摘要:
1、介绍 /conf/nginx.conf文件是一个纯文本文件,是nginx应用的主要配置文件。 2、整体布局 整体布局对应的是文本本身,其下可以直接包括:全局配置、events配置块、http配置块。 (1)全局配置允许生成的work进程个数 worker_precesses 4; # 允许生成的 阅读全文
摘要:
Nginx 介绍 菜鸟教程 (cainiaojc.com) Nginx 配置详解 | 菜鸟教程 (yaojieyun.com) 官网: NGINX - 高级负载均衡器、Web服务器、反向代理 | 弘协网络 (nginx-cn.net) nginx news 1、介绍 nginx是一款web服务器容器 阅读全文
摘要:
1、介绍 nginx可以作为静态资源的服务器,可以做反向代理和负载均衡。 2、配置 $uri 请求url的path部分,会对其进行url解码。容易造成crlf漏洞 $host 请求url的主机部分 2、首页 /index.html 3、404页面 阅读全文
摘要:
1、介绍 这里的环境是基于vulhub/tomcat/tomcat8进行测试的。主要阐述tomcat的后台相关功能。 2、tomcat默认首页 默认首页是index.jsp 3、Server Status 该页面展示服务器相关状态,包括服务器容器版本,jvm环境版本,操作系统名称和版本等 4、Man 阅读全文
摘要:
1、介绍 这里阐述除了web基础漏洞之外的漏洞大全,简要列举,以供快速查询。分为几大类:服务器容器、cms、前端api、后端api、操作系统和端口服务 2、服务器容器 网站级别测试: tomcat后台弱口令war包上传 tomcat put漏洞 tomcat ajp漏洞 nignx目录穿越漏洞 ng 阅读全文
摘要:
1、text/plain形式 2、application/x-www-form-urlencoded 3、不同的input类型 包括多选按钮在内的各种input,以及textarea,提交时都是基于name和value这样的参数单元,value是字符串。多选按钮被选中多个,相当于多组的name和va 阅读全文