堕落不振功业废,勤耕不辍日月新

 分类:编程开发

展现各编程语言文章,案例与解决方案

PHP的一个的有用小特性(argument unpacking)

年前花了点时间,对Yar的性能做了一些做了一些提升,但是也遇到一个让我有点不舒服的当初没有良好设计遗留的问题,就是在并行调用RPC的时候,现在的方法原型是: public static Yar_Concurrent_Client::call(string $uri, strin...

信息收集自动化工具-ShuiZe

信息收集自动化工具-ShuiZe 项目功能: 只需要输入根域名即可全方位收集相关资产,并检测漏洞。也可以输入多个域名、C段IP等,具体案例见下文。 调用:脚本借用了ksubdomain爆破子域名和theHarvester收集邮箱 安装方法一… 转载请注明:我是IT &...

从Android 源码的角度剖析APP的安装过程

一.编译阶段(resources文件) 1.每个module中的内容可以分为两部分: resources 资源文件 (包括:XML 动画 DW图片 音视频) Java /Kotlin 源代码() 2.APPT工具负责变异这些资源文件,所有资… 转载请注明:我是IT &...

安全攻防-03 SQL的漏洞原理 检测与防御

什么是SQL注入?SQL注入的产生原因,开发时未对用户的输入数据进行过滤将数据当代码解析,最终导致的注入漏洞. <!–more–> 一.SQL注入的分类: 1)整数型注入,数字型注入 select * F… ...

安全攻防-02 如何挖掘XSS的漏洞 检测与防御

前言:XSS漏洞挖掘分为:黑盒测试和白盒测试 黑盒:不断去用构造字符串来验证漏洞.白盒:分析源代码检测XSS漏洞.语法,词法,污点分析来检测漏洞 <!–more–> 一.黑盒测试 1.人工测试,在一切可以… 转载请注明:我是IT...

安全攻防-01 XSS实现会话身份劫持 漏洞原理利用防御

前言:HackerOne平台上发布的漏洞报告上,23%占比的都是XSS漏洞 Cross-site scripting 跨站脚本 简称XSS. **XSS原理:** 网站对用户输入的数据未做有效的过滤,攻击者可以将恶意代码脚本注入网站的页面中… 转载请注明:我是IT &...

安全攻防-05 如何检测和防御SQL注入

前言:目前自动化检测WEB漏洞的方法有三种,SAST(静态应用安全测试),DAST(动态应用安全测试),IAST(交互式安全检测) <!–more–> 一.SAST(静态应用安全测试) 应用程序源码以及提… 转载请注明:我是IT...