原创 web安全崗面試題收集
以下轉自vivo安全工程師崗面試題: tcp/udp區別 tcp udp 是否面向連接 是 否 是否可靠 是 否 傳輸字節流 傳輸udp報文 首部複雜,利用率不高 堆和棧的區別 3.** 進
2018-12-28 14:07:12
2
原创 xss基礎認證釣魚代碼收集
0x01 <?php error_reporting(0); /* 檢查變量 $PHP_AUTH_USER 和$PHP_AUTH_PW 的值*/ if ((!isset($_SERVER['PHP_AUTH_USER'])) ||
2018-12-26 21:25:22
3
原创 xss漏洞掃描器開發隨想
前言 很喜歡xss的各種腦洞打開的利用方式,也想着能夠實現自動挖掘xss,但是個人覺得像大多數漏洞掃描器那樣用收集的大量的payload,採用暴力測試的那種手段不夠聰明,後來也發現了一款宣稱smarter的xss掃描器——xssstr
2018-12-16 18:06:19
3
原创 python正則表達式原始字符串之坑
前言 起因是我寫一款xss漏洞掃描器,需要匹配頁面中是否輸出我的payload,而我的payload中又有很多特殊字符(+%等),本以爲一個簡單的原始字符串就可以解決,但是。。。結果就是有了這篇文章 正則與原始字符串不清不楚的關係 樣
2018-12-13 20:01:29
原创 XSStrike源碼閱讀(3)——核心函數
wafDectector 代碼也不多,我就直接貼上來了,源碼如下: def wafDetector(url, params, headers, GET, delay, timeout): with open('./db/waf
2018-12-09 18:04:06
43
原创 XSStrike源碼閱讀(1)——目錄結構與大體架構
目錄結構 core(目錄) 文件名 主要功能 arjun.py 發現隱藏的參數 broswerEngine.py selenium瀏覽器引擎,根據彈窗判斷xss是否發生 checker.py 檢查過濾器
2018-12-07 18:24:15
3
原创 nmap筆記
nmap Nmap是一款網絡掃描和主機檢測的非常有用的工具。Nmap是不侷限於僅僅收集信息和枚舉,同時可以用來作爲一個漏洞探測器或安全掃描器。它可以適用於winodws,linux,mac等操作系統。Nmap是一款非常強大的實用工具,
2018-12-07 18:24:15
原创 xss challenges writeup(下)
stage11 鏈接:http://xss-quiz.int21h.jp/stage11th.php?sid=d96d48271b06401dacdf4b97aa0651385b685c06 先來個探針吧,發現輸出還是在input的v
2018-12-07 18:24:15
1
原创 XSStrike源碼閱讀(2)——bruteforcer模式
功能介紹 根據用戶提供的payloads文件去暴力測試每一個參數,以此來確定是否存在xss漏洞(說起來也就是一個兩層循環)。 具體實現 XSStrike3.0 bruteforcer.py源碼如下: import copy from
2018-12-01 00:00:04
21
原创 wampserver配置不允許列目錄
找到httpd.conf的如下位置(ctrl+f搜索directory): 將Options…這一行註釋掉,添加一行 Options None 同樣找到httpd-vhosts.conf中的Options Indexes
2018-11-26 03:24:19
原创 優秀博文收集
xss內網掃描及相關知識 JS內網主機掃描和端口掃描姿勢總結 XSS的另一種利用思路 使用 WebRTC 構建簡單的前端視頻通信 WebRTC實時通信系列教程 經驗分享 | XSS手工利用方式 xss中使用js掃描外|內網端口 檢測遠
2018-11-22 23:10:35
1
原创 wampserver配置其它主機訪問
前言 默認情況下,wampserver是隻能本機訪問的,也就是在localhost(127.0.0.1)上訪問,如果需要配置其他主機訪問,就需要進行相關配置 修改httpd.conf 一般是在wamp安裝目錄的 bin\apach
2018-11-22 23:10:35
原创 win7下無法定位程序輸入點ucrtbase.abort與動態鏈接庫api-ms-win-crt-runtime-l1-1-0.dll上解決辦法
前言 由於最近在搭漏洞環境,想在我的win7虛擬機下配一下wamp環境,出於便利我想使用wampserver這一集成開發環境,但是在安裝過程中遇到了好多問題(各種dll的缺失),dll缺失都是小事,直接下載然後放到相應的目錄下就可以了
2018-11-20 03:39:18
4
原创 wampserver配置外網訪問
前言 默認情況下,wampserver是隻能本機訪問的,也就是在localhost(127.0.0.1)上訪問,如果需要配置其他主機訪問,就需要進行相關配置 修改httpd.conf 一般是在wamp安裝目錄的 bin\apach
2018-11-20 03:39:18
4
原创 Python黑帽子-實現netcat基本功能(改進版)
前言 一個好的滲透測試人員,應該擁有強大的編程能力,而python就是一個很好的工具,我最近也再研究如何用python開發屬於自己的小工具,《python黑帽子》是一本很不錯的書籍。本系列博文是我在學習過程中,做的一些總結與拓展。 前置知
2018-08-21 21:35:49