原创 jQuery DOM型XSS分享

jquery下載地址:https://code.jquery.com/jquery/   最近測試公司官網發現,存在dom 型xss,觸發效果如下 構造測試payload如下: <script src="https://testtest

2020-06-26 21:32:52 1

原创 Sql注入之mybatis框架

一、SQL注入漏洞基本原理 在常見的web漏洞中,SQL注入漏洞較爲常見,危害也較大。攻擊者一旦利用系統中存在的SQL注入漏洞來發起攻擊,在條件允許的情況下,不僅可以獲取整站數據,還可通過進一步的滲透來獲取服務器權限,從而進入內網。 注入

2020-06-08 15:46:55

原创 網絡安全-路由交換

技術問答:        一、DR和BDR選舉的過程         DR和BDR的選舉是根據優先級來確定的,優先級越大約有可能成爲DR,如果優先級相同,那麼久根據router—id的大小來選舉,越大約有可能成爲DR 1. 在和鄰居建立雙

2020-06-08 15:46:55

原创 Python小項目-飛機大戰

# -*- coding:utf-8 -*- import pygame from pygame.locals import * import time import random class Hero_Plane(object):

2019-08-02 05:31:09 3

原创 Java反序列化漏洞詳解

Java反序列化漏洞原理       序列化就是把對象轉換成字節流,便於保存在內存、文件、數據庫中;反序列化即逆過程,由字節流還原成對象。       Java中的ObjectOutputStream類的writeObject()方法可以

2019-07-30 04:01:38 1

原创 IOS 逆向分析基礎篇

一、環境準備 已經越獄的IOS手機一臺,如果使用的是Windows筆記本另外需要mac 虛擬機 1、IOS 手機越獄及環境配置    IOS12.0 以前版本,可以用impactor 寫入簽名,安裝越獄IPA包 IOS 12以上版本,並

2019-07-11 06:37:24

原创 python 實現打印100~200間的素數

#函數用於判斷某一個數是不是素數 def test(num):     list = [] #定義列表,用於存儲計算     i = num -1#去除本身     while i > 1:#去除1         if num%i =

2019-07-06 06:02:25 2

原创 防盜鏈總結

  方法1:判斷引用地址 這個方法是最早及最常見的方法。所謂判斷引用地址,就是判斷瀏覽器請求時HTTP頭的Referer字段的值,這個值在asp.net裏面可以用 Request.UrlReferrer屬性取得。幾個例子來說,在正常情況下

2019-07-06 06:02:25 1

原创 python實現掃描指定端口

#!/usr/bin/env python # encoding: utf-8 import socket,sys ip = '172.16.138.238' port = [23,80,8080,123,465,789,323,330

2019-07-06 06:02:25

原创 xpath注入詳解(三)

一、xpath實列分析(實例1) 流腳本語言都支持對XPath的處理,下面我以PHP來學習XPath注入的原理. blog.xml: <?xml version="1.0" encoding="UTF-8"?> <root>     <u

2019-06-26 08:07:11 2

原创 xpath注入詳解(一)

滲透的小夥伴可能經常聽xpath注入,CRLF注入等,但實際上真正研究,在日常甲方安全工作中能發現問題,解決問題的並不是很多。本片博客我個人查閱資料、參考網上相關文章做一總結,供各位小夥伴學習。 一、概念(什麼是xpath) XPath 

2019-06-26 08:07:11

原创 xpath注入詳解(二)

三、XPath注入的定義        XPath注入攻擊,是指利用XPath 解析器的鬆散輸入和容錯特性,能夠在 URL、表單或其它信息上附帶惡意的XPath 查詢代碼,以獲得權限信息的訪問權並更改這些信息。XPath注入攻擊是針對We

2019-06-26 08:07:11

原创 JSONP 安全攻防技術(JSON劫持、 XSS漏洞)

關於 JSONP JSONP 全稱是 JSON with Padding ,是基於 JSON 格式的爲解決跨域請求資源而產生的解決方案。他實現的基本原理是利用了 HTML 裏 <script></script> 元素標籤,遠程調用 JSO

2019-06-25 06:20:05 85

原创 CSRF 跨站請求僞造及CORS跨域資源共享漏洞修復案例

跨站請求僞造(CSRF):是一種挾制用戶在當前已登錄的Web應用程序上執行非本意的操作的攻擊方法。跟跨網站腳本(XSS)相比,XSS 利用的是用戶對指定網站的信任,CSRF 利用的是網站對用戶網頁瀏覽器的信任。 漏洞原理:用戶C訪問正常網

2019-06-12 21:26:50 1

原创 Android逆向分析-基礎篇

Android逆向基礎篇 1、工具認識 adb Android和模擬器連接工具 drozer  測試工具 jd-gui    dex文件反編譯後查看工具 ApkIDE  apk反編譯工具 2、逆向分析——apk安全測試 (1)adb連接安

2018-11-30 23:59:25 15