Darkless

vauditDemo代码审计本片博客记录vauditDemo的代码审计过程，初学代码审计，记录下来方便回看。vauditDemo地址：https://github.com/virink/VAuditDemo, 这个是大牛virink写的一款

2019-12-02 web安全代码审计

vauditdemo

在ubuntu上安装deepin微信后，打开别人发送的图片是空白的，无法显示。网上查了下，deepin论坛给的解决办法如下： https://bbs.deepin.org/forum.php?mod=viewthread&tid=

2019-11-29 日常 bug解决

deepin

JSON&HTTPP此插件可以互相转换JSON和HTTP 用法：将需要转换的http数据放到插件中转换即可： Knife功能很多，详见：https://github.com/bit4woo/knife/blob/master/

2019-11-11 web安全安全工具

burpsuite

无聊引发的渗透在外出差，为了打发无聊时间只能拿路由器开刀了，连上WIFI后查看地址，然后nmap扫一波。只开放了80端口然后web登录，是下面这个页面使用admin用户登录密码错误后会提示密码错误，使用其它用户登录会提示不存在此

2019-10-15 web安全逻辑漏洞

越权

安全狗防护基本方法本次使用的安全狗版本为：V4.0 27338 IIS 正式版，是官网截止2019年10月8号的最新版本，本篇文章主要介绍sql注入突破。 sql注入防护在安全狗的默认防护规则中有一系列关于sql注入的防护当初发这些规则

2019-10-08 web安全 bypass方法

安全狗

总体情况判断上传漏洞类型上传绕过方法前端JS校验1.禁用js2.修改js代码中禁止上传的白名单或黑名单3.抓包改包服务端检查文件名后缀1.黑名单： - 上传服务器可解析的其它格式后缀，例如php3,phtml,asa,cer等

2019-08-26 web安全文件上传

文件上传

什么是zabbixzabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 zabbix能监视各种网络参数，保证服务器系统的安全运营；并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。 za

2019-08-03 web安全漏洞复现

SQL注入 zabbix

关于DHCP的各种攻击介绍可参考之前的一篇文章DHCP snooping总结,本文重点以实验的方式来演示DHCP的攻击与防御😊。实验拓扑实验模拟器使用的是GNS3，路由器及交换机为思科设备，DHCP服务器为winserver2008,

2019-07-03 网络安全

DHCP

union和union allunion和union all都是联合查询，用于连接两个以上的 SELECT 语句的结果组合到一个结果集合中，区别在于union会去除重复的结果，union all不会。要注意的是前后两个select语句中

2019-06-01 web安全 SQLi

SQL注入

这两天看了一篇文章是写爬取拉勾网职位信息的，看了以后想自己也尝试下。可能是拉钩网加了反爬，网上的大部分方法已经不能用了，我自己研究了下它的反爬措施，找出应对的方法即可完成爬取。拉开拉钩随便搜索一个职位信息，F12查看请求与响应。可在一个

2019-05-25 python 爬虫

存储型XSS简介存储型XSS也叫持久型XSS，这种XSS需要服务端的参与，它与反射型XSS的区别在于XSS代码是否持久化（硬盘，数据库）。反射型XSS过程中后端服务器仅仅将XSS代码保存在内存中，并未持久化，因此每次触发反射性XSS都需要由

2019-05-13 web安全 DVWA

XSS

反射型XSS简介接着上篇文章介绍下什么是反射性XSS。在三种类型的XSS中，反射型XSS是利用最广泛的一种。它通过给别人发送带有恶意脚本代码参数的URL，当URL地址被打开时，特有的恶意代码参数被HTML解析、执行。它的特点是非持久化，必

2019-05-12 web安全 DVWA

XSS