发表于 |
字数统计 1,309 | 阅读时长 5
0x01 前言目前,大部分的业务系统需要提供公网域名、IP进行访问,若涉及用户个人信息、支付交易、订单信息等有关接口,那么接口的安全性就相当重要了。 0x02 安全需求在设计、建模初期主要思考下列两个方面的问题: 如何保证数据在传输过程中的安全性? 数据在到达服务端后,服务端如何识别数据,如何不被 ...
阅读全文 »

发表于 |
字数统计 1,246 | 阅读时长 4
在公司企业安全建设中,就子域名的一些想法。只是对于我司而已,可能不通用,因地制宜。 0x01 前言由于现实的种种原因,我们不可能将所有子域名放到内网中或者绑定白名单IP访问,所以如果灰黑产人员发现不到公司的敏感子域名,那么就该子域名而言,被攻击的可能性就会降低那么一点、风险也自然会减少一点。 ...
阅读全文 »

发表于 |
字数统计 603 | 阅读时长 2
这周总算是稍微有点自己的空闲时间了,趁下班时间赶紧撸点代码,之前找前端框架的时候找到个自我感觉挺好看、简约的博客模版,所以用Django实现了下。 1. 介绍博客系统使用python3编写,基于Django 2.2和clean-blog前端框架编写。 我理解的博客系统只需专注于写作和阅读即可,不应该 ...
阅读全文 »

发表于 |
字数统计 914 | 阅读时长 4
之前做的代理池,最近有需要,又用了起来,但是,emmm… 所以重构了下,可用性还是很高的。 临时API:http://94.191.42.63:9090/random 源代码app: web服务 conf: 全局配置 db: redis数据操作 log: 日志文件目录 manager: 代理调度 ...
阅读全文 »

发表于 |
字数统计 499 | 阅读时长 2
前几天做测试的时候,遇到个adminer,成功利用MySQL LOAD DATA特性进行文件读取,并最终getshell。 MySQL LOAD DATA主要是用于读取一个文件的内容并且放到一个表中。 正常流程: 123客户端:hi~ 我将把我的 data.csv 文件给你插入到 test 表中 ...
阅读全文 »

发表于 |
字数统计 2,551 | 阅读时长 14
如果碰到没遇到或者不知道的,建议大家先Google、看文档。 首先大家可以先看下这个网站: https://portswigger.net/web-security/cross-site-scripting/cheat-sheet 如果测试的时候在这个网站上找不到可以利用的方法的话,那…emmm ...
阅读全文 »

发表于 |
字数统计 2,730 | 阅读时长 12
前言现在前端开发为了提高爬虫的难度及加强安全性,都会在数据包提交前进行加密,最典型的就是传参加密,相信大家在测试的时候都遇到过,那么我们在抓取数据包并修改之后,修改之后的参数无法通过后端程序数据完整性的校验,就无法进行进一步测试。如果我们逆向解析出加密的过程,就可以模拟出相同的密文,通过后端接口的校 ...
阅读全文 »

发表于 |
字数统计 664 | 阅读时长 2
0x01 Proxifier代理介绍首先介绍下Proxifier: Proxifier是一款功能非常强大的代理客户端,支持Windows XP/Vista/Win7/Win10 和 MacOS,支持http/https、socks4/5、TCP、UDP等协议,可以指定端口,指定IP,指定域名、指定 ...
阅读全文 »