(未完)经典Web漏洞实战演练靶场笔记】的更多相关文章

(未完)经典Web漏洞实战演练靶场笔记

记录下自己写的经典Web漏洞靶场的write up,包括了大部分的经典Web漏洞实战场景,做个笔记. 0x01 任意文件下载漏洞 if(!empty($_GET['filename'])){ $filename = $_GET['filename']; $fileinfo = pathinfo($filename); header('Content-type: application/x-'.$fileinfo['extension']); header('Content-Disposition…

(未完)XSS漏洞实战靶场笔记

记录下自己写的XSS靶场的write up,也是学习了常见xss漏洞类型的实战场景…

CSRF漏洞实战靶场笔记

记录下自己写的CSRF漏洞靶场的write up,包括了大部分的CSRF实战场景,做个笔记. 0x01 无防护GET类型csrf(伪造添加成员请求) 这一关没有任何csrf访问措施 首先我们登录test用户 发现有个添加成员功能  用test账号添加 发现只有admin才可以添加 现在用另一个浏览器 ,这里用的搜狗浏览器来登录admin账号 我们把test用户添加用户的url地址,这里是添加一个用户名为111和密码为111的用户请求的地址,我们在登录了admin账号的搜狗浏览器新建窗口打开 ht…

Go web编程学习笔记——未完待续

1. 1).GOPATH设置 先设置自己的GOPATH,可以在本机中运行$PATH进行查看: userdeMacBook-Pro:~ user$ $GOPATH -bash: /Users/user/go: is a directory 在这可见我的GOPATH是/Users/user/go,并在该目录下生成如下作用的三个子目录: src:存放源代码(比如.go .c .h .s等) pkg:编译后生成的文件(比如.a) bin:编译后生成的可执行文件(为了方便可将此目录加入到$PATH中,本机…

[漏洞检测]Proxpy Web Scan设计与实现(未完待续)

Proxpy Web Scan设计与实现 1.简介:          Proxpy Web Scan是基于开源的python漏洞扫描框架wapiti改造的web漏洞扫描器,其主要解决以下几个问题而生: (1).当前互联网业务处于快速发展阶段,由于小版本更新迭代快,很难做到发布前必定经过安全测试.此外,安全小组面临安全人员不足和人工安全测试重复性工作过高的问题, (2).当前业界的漏洞扫描器更多的是基于简单的爬虫加扫描引擎的模式,可定制化幅度小,易用性和可扩展性都不是太好,如果要嵌入到发布流程则…

virtualbox搭建ubuntu server nginx+mysql+tomcat web服务器1 (未完待续)

virtualbox搭建ubuntu server nginx+mysql+tomcat web服务器1 (未完待续) 第一次接触到 linux,不知道linux的确很强大,然后用virtualbox装了服务器,在命令行的东西实在是太多了,感觉还是记录在自己的博客里面感觉踏实点,同时也为广大的朋友提供意见和参考.感觉搭建整个服务器真的很难,首先要安装ubuntu,64位.这个比较简单,首先你要有个ubuntu的Ubuntu12.04.1 的ISO.http://download.chinauni…

Java开发中的23+2种设计模式学习个人笔记(未完待续)

注:个人笔记 一.设计模式分三大类: 创建型模式,共五种:工厂方法模式.抽象工厂模式.单例模式.建造者模式.原型模式. 结构型模式,共七种:适配器模式.装饰器模式.代理模式.外观模式.桥接模式.组合模式.享元模式. 行为型模式,共十一种:策略模式.模板方法模式.观察者模式.迭代子模式.责任链模式.命令模式.备忘录模式.状态模式.访问者模式.中介者模式.解释器模式. 另外两种:并发型模式和线程池模式 二.六大原则 1.开闭原则(Open Close Principle) 开闭原则就是说对扩展开放,…

《MySQL 基础课程》笔记整理(进阶篇)(未完)

一.MySQL服务安装及命令使用 安装过程就不写了,毕竟百度经验一大把 MySQL 官方文档 MySQL 参考手册中文版 1.MySQL简介 ​ RDBMS(Relational Database Management System:关系数据库管理系统) ​ 标准化语言.体积小.速度快.成本低.开源 2. 启动mysql服务器 $ sudo service start 3.输入查询 -- 查看MySQL版本号 mysql> SELECT VERSION(); 二.MySQL 操作详解 1.创建并…

疯狂Java:突破程序员基本功的16课-李刚编著 学习笔记(未完待续)

突破程序员基本功(16课) 数组 静态语言: 在编译的时候就能确定数据类型的语言,大多静态语言要求在使用变量之前必须声明数据类型(少数具有强推导能力的现代语言不用) 动态语言: 在程序运行时确定数据类型的语言,变量使用之前不需要声明数据类型 java是静态语言,在使用之前需要声明变量类型. //声明一个可存放数据类型为String,长度为5的数组 String[] arr = new String[5]; 数组的初始化 数组初始化有两种方式 静态初始化: 初始化时,程序员显示指定数组每个元素的初…

unix高级环境编程学习笔记第七章(未完)

博客地址:http://www.cnblogs.com/zengjianrong/p/3222081.html 7.1 引言 Main函数调用:命令行参数:存储器布局:如何分配存储器:进程使用env:进程终止方式:longjmp.setjmp:进程资源限制. 7.2 main函数 内核执行c程序(exec函数)→调用启动例程(exit(main))→被可执行程序文件指定为程序的起始地址→调用main C编辑器(cc)→调用连接编辑器→设置启动例程为程序的起始地址 7.3 进程终止(8种) Nor…