原理 CRLF 指的是回车符(CR,ASCII 13,\r,%0d) 和换行符(LF,ASCII 10,\n,%0a),操作系统就是根据这个标识来进行换行的.但是如果对输入过滤不严,就会将恶意语句注入到http请求数据包中. 案例 使用vulhub靶场 cd /vulhub-master/nginx/insecure-configuration sudo docker-compose up -d 开启靶场后访问url http://ip/8080/ Set-cookie:JSPSESSID%3D…

XSS漏洞学习 简介 xss漏洞,英文名为cross site scripting. xss最大的特点就是能注入恶意的代码到用户浏览器的网页上,从而达到劫持用户会话的目的. 说白了就是想尽办法让你加载一段js代码从而获取cookie等敏感信息进而搞破坏 XSS大致分为三类 反射性XSS:直接构造url来攻击,只能执行一次 DOM型XSS:通过更改HTML的DOM结构来执行js代码 存储型XSS:攻击者将js代码上传到有漏洞的服务器中,所有访问的人都会受到攻击 挖掘地点 最重要的是闭合标签 个人资…

JWT漏洞学习 什么是JWT? JWT是JSON Web Token的缩写,它是一串带有声明信息的字符串,由服务端使用加密算法对信息签名,以保证其完整性和不可伪造性.Token里可以包含所有必要的信息,这样服务端就无需保存任何关于用户或会话的信息了.JWT可用于身份认证,会话状态维持以及信息交换等任务. JSON Web令牌结构是什么? JWT由三部分构成,分别称为header,payload和signature,各部分用"."相连构成一个完整的Token,形如xxxxx.yyyyy.…

深度学习标注工具 LabelMe 的使用教程(Windows 版本) 2018-11-21 20:12:53 精灵标注助手:http://www.jinglingbiaozhu.com/ LabelMe:https://github.com/CSAILVision/LabelMeAnnotationTool 1. install anaconda: https://www.anaconda.com/download/ 2. 打开刚刚安装好的 Anaconda Prompt 3. 在打开的 pro…

Caffe学习系列——工具篇:神经网络模型结构可视化 在Caffe中,目前有两种可视化prototxt格式网络结构的方法: 使用Netscope在线可视化 使用Caffe提供的draw_net.py 本文将就这两种方法加以介绍 1. Netscope:支持Caffe的神经网络结构在线可视化工具 Netscope是个支持prototxt格式描述的神经网络结构的在线可视工具,网址:  http://ethereon.github.io/netscope/quickstart.html  它可以用来可…

漏洞利用查询工具sandi   在渗透测试中,一旦发现漏洞,就需要查找该漏洞的利用方式.由于漏洞众多,就需要渗透测试人员从海量的漏洞信息找出可用攻击载荷.Kali Linux内置了一个查询工具sandi.该工具提供命令行和界面两种查询方式.用户指定查询关键后,该工具可以从exploit-DB.Metasploit和Shell-storm中查询相关的漏洞利用信息,并在浏览器中显示查询结果.…

目录 Typecho-反序列化漏洞学习 0x00 前言 0x01 分析过程 0x02 调试 0x03 总结 0xFF 参考 Typecho-反序列化漏洞学习 0x00 前言 补丁: https://github.com/typecho/typecho/commit/e277141c974cd740702c5ce73f7e9f382c18d84e#diff-3b7de2cf163f18aa521c050bb543084f 这里我下了1.0版本: git clone https://github.c…

XSS漏洞自动化攻击工具XSSer   XSS是Web应用常见的漏洞.利用该漏洞,安全人员在网站注入恶意脚本,控制用户浏览器,并发起其他渗透操作.XSSer是Kali Linux提供的一款自动化XSS攻击框架.该工具可以同时探测多个网址.如果发现XSS漏洞,可以生成报告,并直接进行利用,如建立反向连接.为了提供攻击效率,该工具支持各种规避措施,如判断XSS过滤器.规避特定的防火墙.编码规避.同时,该工具提供丰富的选项,供用户自定义攻击,如指定攻击载荷.设置漏洞利用代码等.…

jquery源代码学习_工具函数_type jquery里面有一个很重要的工具函数,$.type函数用来判断类型,今天写这篇文章,是来回顾type函数的设计思想,深入理解. 首先来看一下最终结果: 上面的源代码乍一看似乎艰涩难懂,有点抽象,毕竟是前辈心血之作,深深佩服.对我们初学者,可以从简单入手,来一步一步深化,得到最终的优化方案. 第一个版本 在看<JavaScript高级程序设计>这本书时候,书上提到typeof,typeof可以判断function,number ,undefined,…

Unix/Linux提权漏洞快速检测工具unix-privesc-check   unix-privesc-check是Kali Linux自带的一款提权漏洞检测工具.它是一个Shell文件,可以检测所在系统的错误配置,以发现可以用于提权的漏洞.该工具适用于安全审计.渗透测试和系统维护等场景.它可以检测与权限相关的各类文件的读写权限,如认证相关文件.重要配置文件.交换区文件.cron job文件.设备文件.其他用户的家目录.正在执行的文件等等.如果发现可以利用的漏洞,就会给出提示warning.…