3 LTW.张敬轩

尚未进行身份认证

我要认证

暂无相关简介

等级
TA的排名 4w+

Python 获取动态加载的页面数据

这种动态加载的页面,一般数据会在Network的JS或者XHR类目里。所以我们要使用开发者工具辅助。URL:https://movie.douban.com/tag/#/?sort=T&range=0,10&tags=%E9%9D%92%E6%98%A5一:打开开发者工具,看这一页的XHR里没有任何文件,然后点击“加载更多”按钮,看它给我们返回什么信息。...

2018-10-12 15:49:08

Python练手例子

一:爬取豆瓣电影top250地址from bs4 import BeautifulSoupfrom urllib.request import urlopenimport pandas as pdimport numpy as npfrom pandas import DataFrame,Seriesimport redef split(str,regular): #正则表达式...

2018-10-10 17:22:54

在Window下安装Oracle

在Window下安装Oracle一、Oracle下载地址http://www.oracle.com/technetwork/database/enterprise-edition/downloads/index.html二、解压文件1、解压这两份文件,解压到当前文件夹2、多出一个database文件夹3、进入database文件夹,双击setup.exe...

2018-09-18 15:06:46

SQL server 2008 r2 安装图文详解(转)

版权声明: https://blog.csdn.net/qq_41432123/article/details/79053486文末有官网下载地址、百度网盘下载地址和产品序列号以及密钥,中间需要用到密钥和序列号的可以到文末找选择网盘下载的下载解压后是镜像文件,还需要解压一次直接右键点击解如图所示选项,官网下载安装包的可以跳过前两步  等待解压完,过程可能会比较慢解压完后...

2018-09-18 10:11:32

渗透之CMS

       CMS,即 Content Management System ,中文全称是“网站内容管理系统”。网站内容管理系统具有许多基于模板的优秀设计,可以加快网站开发的速度和减少开发的成本。网站内容管理系统的功能并不只限于文本处理,它也可以处理图片、Flash动画、声像流、图像甚至电子邮件档案。网站内容管理系统其实是一个很广泛的称呼,从一般的博客程序,新闻发布程序,到综合性的网站管理程序都可...

2018-09-07 10:38:22

构造图片木马,绕过文件内容检测上传木马

      一般文件内容验证使用getimagesizeo函数检测,会判断文件是否是一个有效的文件图片,如果是,则允许上传,否则的话不允许上传。将一句话木马插入到一个【合法】的图片文件当中,然后用菜刀远程连接。    1、选择要上传的木马,将后缀名(.php)改成(.php.jpg),发现此文件不允许上传,服务器对上传的内容进行了检测。    2、此时我们随便找个图片,与要上传的木马放在同...

2018-09-04 13:57:38

不容小视的漏洞——ClickJacking

 除了XSS和CSRF之外,还有一个被称为ClickJacking的web安全漏洞常常被大家遗忘,但绝对不能忽略。是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。由于点击劫持的出现,便出现了反frame嵌套的方式,因为点击劫持需要iframe嵌套页面来攻击。解决方法:配置过滤器  首先,将Clickj...

2018-08-24 09:36:59

TCP端口扫描器

一个基于Python3的TCP端口扫描器原理:就是和不同的端口进行TCP连接,能连接成功就表示此端口是开放的,不能连接成就表示此端口是关闭的。import socketimport reimport threadingimport time lock = threading.Lock()threads = list()ports_list = list() def...

2018-08-21 09:52:19

最详细的Redhat 6.7 x64升级SSH到OpenSSH_7.7p1完整文档

        本文档将详细介绍OpenSSH升级的完整步骤。需要说明的是,升级过程中虽然涉及zlib、openssl和openssh的卸载,但是并不会导致当前的ssh远程连接会话断开,因此是可以将整个升级过程写成自动化脚本以进行自动批量部署的。一:部署环境1、VMware安装Redhat 6.7 x64系统2、OpenSSH需要依赖ZLIB和OpenSSL,OpenSSH最新版7.7...

2018-08-20 14:01:28

DVWA之File Upload(文件上传漏洞)

      由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。      下面对不同级别的代码进行分析。一:LOW1、服务器端核心代码<?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we goin...

2018-08-16 10:53:08

DVWA之反射型XSS

       这里对反射型XSS的三个等级的代码进行分析,最高级的不讲。一:LOW等级1、服务器端核心代码<?php // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end u...

2018-08-15 16:50:58

渗透测试之DVWA暴力破解(High)

一:服务器端核心代码<?phpif(isset($_GET['Login'])){//CheckAnti-CSRFtokencheckToken($_REQUEST['user_token'],$_SESSION['session_token'],'index.php');//Sanitiseusernameinput$user=$_GET['username'];$u...

2018-08-15 15:15:20

渗透测试之CSRF漏洞攻击

一:概念CSRF跨站点请求伪造(Cross—Site Request Forgery)。你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。二:CSRF攻击原理及过程       1. 用户C打开浏览器,访问受信任网...

2018-08-15 13:40:49

渗透测试之DVWA暴力破解(LOW)

     Brute Force,即暴力(破解),是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的攻击手法之一,     先放出服务器端核心代码<?phpif(isset($_GET['Login'])){//Getusername$user=$_GET['username'];//Getpassword$pass=$_GET['password'...

2018-08-15 11:03:18

渗透测试之DVWA的Medium级别的SQL注入

Medium SQL Injection Source是通过一个下拉表的方式提交数据的。选择数据后提交,发现URL不是GET注入,是把提交的数据存放到post数据中先把源代码放出来<?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $id = $_POST[ 'id' ]; $id = mysql_real_e...

2018-08-14 16:18:40

网站渗透测试原理及详细过程

网站渗透测试原理及详细过程作  者: Angel_Kitty 出  处:http://www.cnblogs.com/ECJTUACM-873284962/ 零、前言渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗透测试方法均为(假设为)合法的评估服务,也就是通常所说的道德黑客行为(Ethical hacking),因此我们这里的所有读者应当都是...

2018-08-14 10:56:05

渗透测试漏洞平台DVWA环境安装搭建及初级SQL注入

一:简介      DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 一共有十个模块:      暴力(破解)、命令行注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入、SQ...

2018-08-13 17:01:13

渗透测试之SQL手工注入

         所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 [1]  比如先前的很多影视网站泄露VIP...

2018-08-09 10:21:26

渗透测试之XSS漏洞

         XSS是一种经常出现在Web应用中的计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓...

2018-08-08 16:17:12

渗透测试之Nessus漏洞扫描

        Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。Nessus也是渗透测试重要工具之一。所以,本章将介绍安装,使用Nessus。 一:安装              第一步:官网下载地...

2018-08-08 15:50:21

查看更多

勋章 我的勋章
  • 勤写标兵Lv1
    勤写标兵Lv1
    授予每个自然周发布1篇到3篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。