3 TeamsSix

尚未进行身份认证

我的公众号:TeamsSix

等级
TA的排名 17w+

【经验总结】解决 BurpSuite Pro v2020.1 版本中文乱码问题

0x00 前言之前在我的公众号分享了 BurpSuite Pro v2020.1 版本,但是在使用过程中发现总是会有中文乱码的情况出现。后来使用 Lucida 字体,乱码的情况得到了缓解,但是有些网页依旧会出现乱码的情况,直到后来才意识到问题其实不在于字体的选择。0x01 解决办法来到 User Options --> Display --> Character Sets,...

2020-02-17 14:04:34

BurpSuite pro v2020.1 最新版本,看到这些新功能后我心动了

前言工欲善其身,必先利其器,吃饭的家伙终于更新了,这次改动还蛮大的,尤其是加入了黑暗模式。至于工具的使用及破解方法相信你既然能看到这篇文章,那就不用我过多赘述了 [手动狗头]。新功能1、HTTP消息编辑器下JavaScript、JSON、CSS的语法高亮颜色2、添加了行号,代码折叠功能3、漏洞扫描检测、规则有巨大提升4、增加黑暗主题5、新增特殊功能、性能改进…获取方式在我的公众...

2020-02-11 17:56:56

【经验总结】Python3 Requests 模块请求内容包含中文报错的解决办法

0x00 前言最近在写一个爬虫代码,里面需要使用 get 传参中文,但是如果直接使用中文而不对其编码的话,程序将会报错。UnicodeEncodeError: 'latin-1' codec can't encode characters in position 38-39: ordinal not in range(256)0x01 网上的一些解决办法参考网上的解决办法,比如下面的几种...

2020-02-06 21:05:24

【摘要】漏洞组合拳之XSS+CSRF记录

前几天,我在FreeBuf发布了一篇文章《漏洞组合拳之XSS+CSRF记录》,因为版权原因,无法在这里发布。文章里介绍了两种常见的组合拳方法,感兴趣的可以点击下方链接进行查看。文章链接:https://www.freebuf.com/vuls/225096.html更多信息欢迎关注我的个人微信公众号:TeamsSix本文原文地址:https://www.teamssix.com/year...

2020-02-06 20:59:46

【经验总结】SQL注入Bypass安全狗360主机卫士

0x00 前言这类的文章已经是比较多了,本文也主要是作为学习笔记来记录,主要是记录一下我在学习 SQL 注入 Bypass 的过程,同时前人的不少绕过方法已经失效了,所以这里也是记录一下最新规则的一些绕过方法。0x01 环境搭建测试环境:Win7 + Apache + MySQL 5.7.26 + PHP 5.5.45测试代码:<?phpif ($_GET['id']==null...

2020-01-05 22:27:17

【Python Scrapy 爬虫框架】 6、继续爬虫、终止和重启任务

0x00 前言有时候我们不想只爬一个页面的,比如之前我只爬了主页,但是现在想把其他页面的也爬下来,这就是本文的任务。0x01 修改代码在之前的基础上,修改 teamssix_blog_spider.py 文件,首先添加 start_urlsstart_urls = [ 'https://www.teamssix.com', 'https://www.teamssix.com/p...

2019-12-26 17:09:07

【Python Scrapy 爬虫框架】 5、利用 pipelines 和 settings 将爬取数据存储到 MongoDB

0x00 前言前文中讲到了将爬取的数据导出到文件中,接下来就在前文的代码基础之上,将数据导出到 MongoDB中。0x01 配置 pipelines.py首先来到 pipelines.py 文件下,在这里写入连接操作数据库的一些功能。将连接操作 mongo 所需要的包导入进来import pymongo接下来定义一些参数,注意下面的函数都是在 TeamssixPipeline 类下的...

2019-12-26 17:07:21

【Python Scrapy 爬虫框架】 4、数据项介绍和导出文件

0x00 前言通过上文的内容,已经把博客文章的标题及目录爬取下来了,接下来为了方便数据的保存,我们可以把这些文章的标题及目录给包装成一个数据项,也就是 items。0x01 配置 item先来到 items.py 文件下,对标题及目录的信息进行包装,为了对这些信息进行区别,还需要有一个 id,所以代码如下:class TeamssixItem(scrapy.Item): _id =...

2019-12-26 17:06:29

【Python Scrapy 爬虫框架】 3、利用 Scrapy 爬取博客文章详细信息

0x00 写在前面在之前的文章中,会发现如果直接使用爬取命令,终端会回显很多调试信息,这样输出的内容就会显得很乱,所以就可以使用下面的命令:scrapy crawl blogurl -s LOG_FILE=all.log也就是在原来的基础上加上一个 -s 参数,这样调试信息就会保存到参数指定的文件中,不过也可以在 class 下添加下面的代码,这样只会显示调试出现错误的信息,所以这种方式...

2019-12-26 17:03:08

【Python Scrapy 爬虫框架】 2、利用 Scrapy 爬取我的博客文章标题链接

0x00 新建项目在终端中即可直接新建项目,这里我创建一个名称为 teamssix 的项目,命令如下:scrapy startproject teamssix命令运行后,会自动在当前目录下生成许多文件,如下所示:teamssix │ scrapy.cfg #scrapy的配置文件 └─teamssix #项目的Python模块,在这里写自己的代码 │...

2019-12-24 10:57:08

【Python Scrapy 爬虫框架】 1、简介与安装

0x00 简介下图展示了 Scrapy 的体系结构及其组件概述,在介绍图中的流程前,先来简单了解一下图中每个组件的含义。EngineEngine 负责控制系统所有组件之间的数据流,并在某些操作发生时触发事件。SchedulerScheduler 接收来自 Engine 的请求,并对请求进行排队,以便稍后在 Engine 请求时提供这些请求。DownloaderDownloader 负...

2019-12-24 10:55:25

【Python 学习笔记】异步IO (asyncio) 协程

0x00 前言之前对协程早有耳闻,但一直没有去学习,今天就来学习一下协程,再次感谢莫烦的教程。可以交给asyncio执行的任务被称为协程, asyncio 即异步的意思,在 Python3 中这是一个仅使用单线程就能达到多线程、多进程效果的工具。在单线程中使用异步发起 IO 操作的时候,不需要等待 IO 的结束,在等待 IO 操作结束的这个空当儿可以继续做其他事情,结束的时候就会得到通知,所...

2019-12-20 16:44:44

【Python 学习笔记】多进程爬虫

0x00 前言前段时间学习了多线程,但在实际的情况中对于多线程的速度实在不满意,所以今天就来学学多进程分布式爬虫,在这里感谢莫烦的Python教程。0x01 什么是多进程爬虫在讲述多进程之前,先来回顾一下之前学习的多线程。对于多线程可以简单的理解成运输快递的货车,虽然在整个运输快递的途中有很多货车参与运输,但快递到你手中的时间并不会因为货车的数量增加而变化多少,甚至可能会因为参与运输的货...

2019-12-20 16:40:19

【漏洞复现】DNS域传送漏洞

注:本文中使用的域名是不存在DNS域传送漏洞的,本文仅用作技术交流学习用途,严禁将该文内容用于违法行为。0x00 漏洞描述DNS: 网域名称系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用TCP和UDP端口53,当前,对于每一级域名长度的限制是63个字符,域...

2019-12-06 17:49:40

【漏洞笔记】Robots.txt站点文件

0x00 概述漏洞名称:Robots.txt站点文件风险等级:低问题类型:服务器设置问题0x01 漏洞描述Robots.txt文件中声明了不想被搜索引擎访问的部分或者指定搜索引擎收录指定的部分。此信息可以帮助攻击者得到网站部分文件名称、目录名称,了解网站结构。0x02 漏洞危害攻击者可通过发现robots.txt文件,收集网站的敏感目录或文件,从而有针对性的进行利用。0x03 修...

2019-11-27 20:56:19

【漏洞笔记】Host头攻击

0x00 概述漏洞名称:Host头攻击风险等级:低问题类型:管理员设置问题0x01 漏洞描述Host首部字段是HTTP/1.1新增的,旨在告诉服务器,客户端请求的主机名和端口号,主要用来实现虚拟主机技术。运用虚拟主机技术,单个主机可以运行多个站点。例如:hacker和usagidesign两个站点都运行在同一服务器A上,不管我们请求哪个域名,最终都会被解析成服务器A的IP地址,这个时...

2019-11-27 20:52:02

【经验总结】常见的HTTP方法

0x00 概述根据HTTP标准,HTTP请求可以使用多种请求方法。HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。HTTP1.1新增了六种请求方法:OPTIONS、PUT、PATCH、DELETE、TRACE 和 CONNECT方法。0x01 GETGET方法用于请求指定的页面信息,并返回实体主体。0x02 HEADHEAD方法请求一个与GET请求的响应相同...

2019-11-27 20:49:13

【工具使用】Pigat:一款被动信息收集聚合工具

0x00 前言Pigat即Passive Intelligence Gathering Aggregation Tool,翻译过来就是被动信息收集聚合工具,既然叫聚合工具,也就是说该工具将多款被动信息收集工具结合在了一起,进而提高了平时信息收集的效率。早在一个月前便萌生了开发这个工具的想法,但是一直没有时间,正好最近有时间了,就简单写一下。因为我没有太多的开发经验,所以这款工具难免存在需要改...

2019-11-26 22:31:16

【漏洞笔记】IIS短文件名泄露

0x00 概述漏洞名称:IIS短文件名泄露风险等级:低问题类型:信息泄露0x01 漏洞描述此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(〜)波浪号引起的。为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 短文件名。Microsoft IIS 波浪号造成的信息泄露是世界网络范围内最常见的中等风险漏洞...

2019-11-26 22:27:02

【漏洞笔记】ASP.NET允许文件调试

0x00 概述漏洞名称:ASP.NET允许文件调试风险等级:低问题类型:管理员设置问题0x01 漏洞描述发送DEBUG动作的请求,如果服务器返回内容为OK,那么服务器就开启了调试功能,可能会导致有关Web应用程序的敏感信息泄露,例如密码、路径等。0x02 漏洞危害可能会泄露密码、路径等敏感信息。0x03 修复建议编辑Web.config文件,设置<compilati...

2019-11-26 22:23:31

查看更多

勋章 我的勋章
  • 签到新秀
    签到新秀
    累计签到获取,不积跬步,无以至千里,继续坚持!
  • 持之以恒
    持之以恒
    授予每个自然月内发布4篇或4篇以上原创或翻译IT博文的用户。不积跬步无以至千里,不积小流无以成江海,程序人生的精彩需要坚持不懈地积累!
  • 勤写标兵Lv2
    勤写标兵Lv2
    授予每个自然周发布4篇到6篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。