年前花了点时间,对Yar的性能做了一些做了一些提升,但是也遇到一个让我有点不舒服的当初没有良好设计遗留的问题,就是在并行调用RPC的时候,现在的方法原型是:
public static Yar_Concurrent_Client::call(string $uri, strin...
信息收集自动化工具-ShuiZe 项目功能: 只需要输入根域名即可全方位收集相关资产,并检测漏洞。也可以输入多个域名、C段IP等,具体案例见下文。 调用:脚本借用了ksubdomain爆破子域名和theHarvester收集邮箱 安装方法一…
转载请注明:我是IT &...
一.编译阶段(resources文件) 1.每个module中的内容可以分为两部分: resources 资源文件 (包括:XML 动画 DW图片 音视频) Java /Kotlin 源代码() 2.APPT工具负责变异这些资源文件,所有资…
转载请注明:我是IT &...
前言:二次注入,最常见的就是 mysql_real_escape_string 函数,该函数能对一下常见的字符进行转译 x00
‘ ” x1a <!–more–>…
转载请注明:我是IT &r...
什么是SQL注入?SQL注入的产生原因,开发时未对用户的输入数据进行过滤将数据当代码解析,最终导致的注入漏洞. <!–more–> 一.SQL注入的分类: 1)整数型注入,数字型注入 select * F…
...
前言:XSS漏洞挖掘分为:黑盒测试和白盒测试 黑盒:不断去用构造字符串来验证漏洞.白盒:分析源代码检测XSS漏洞.语法,词法,污点分析来检测漏洞 <!–more–> 一.黑盒测试 1.人工测试,在一切可以…
转载请注明:我是IT...
前言:HackerOne平台上发布的漏洞报告上,23%占比的都是XSS漏洞 Cross-site scripting 跨站脚本 简称XSS. **XSS原理:** 网站对用户输入的数据未做有效的过滤,攻击者可以将恶意代码脚本注入网站的页面中…
转载请注明:我是IT &...
前言:目前自动化检测WEB漏洞的方法有三种,SAST(静态应用安全测试),DAST(动态应用安全测试),IAST(交互式安全检测) <!–more–> 一.SAST(静态应用安全测试) 应用程序源码以及提…
转载请注明:我是IT...
前言: 被OWASP组织列为十大WEB漏洞之一的CSRF漏洞.它是怎么产生的?攻击手法,检测方法防御手段有哪些? <!–more–> 一.产生原理 什么是CSRF(Cross Site Request F…
转载请注明:我是IT...
主要从变量,数据类型,分支结构与循环结构,函数以及类与对象: vscode下载: https://mrliangqi.oss-cn-beijing.aliyuncs.com/python/VSCode-darwin-universal.zi…
转载请注明:我是IT &...
