声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...
对某校成绩查询系统的查询接口进行突破(WEB分析)
今天第一节咱们需要突破验证码的问题。测试地址:http://www.xxxxxxxxxx.com:2000/Login.aspx这个地址就是博主所毕业的院校,大专,官网存在sql注入漏洞,sa权限等各...
python 模拟登录github
一直无法接受 python 的缩进语法,所以非常排斥 python, 但是工作中又离不开python, 所以只好接受它 . 接触一两天发现python用起来还是挺方便的(废话) 12345678910...
使用类来写 Python 的 decorator
平时看到的 Python 的 decorator 都是使用函数来写的,比如说我之前在写的 login_required def login_required(func): @wraps(func) d...
Linux服务器总是被猜测密码怎么办?这个脚本帮你简单加固
我们在使用ssh登录服务器的时候,经常会弹出类似于以下的提示:Last failed login: Fri May 1 23:31:22 CST 2021 from 87.251.74.56 on s...
WSO2 RCE (CVE-2022-29464) 漏洞利用和编写
点击上方蓝字“Ots安全”一起玩耍CVE-2022-29464WSO2 RCE (CVE-2022-29464) 漏洞利用和编写。细节CVE-2022-29464是Orange Tsai发现的 WSO...
CVE-2022-1388 BIG-IP_POC-YAML
Send request:- path {{BaseURL}}/mgmt/shared/authn/login- matchers: words: - "resterrorresponse" - "m...
记一次曲折的获取权限
摘自:https://forum.butian.net/share/1504碰到了一个对外宣传是否安全的站点,但实际测试下来并不安全。不过在这次获取权限的过程中还是有点曲折,记录下来并分享给大家。0x...
模板注入
在网页设计中,模板是一个类似于 HTML 的文件,其中散布着程序指令,这些指令将在运行时由 Web 服务器或浏览器中的 JavaScript 代码解释。模板是一个静态文件,用于通过插入从数据库检索或从...
Web框架的请求上下文
文章首发于:火线Zone社区(https://zone.huoxian.cn/)背景最近在研究web框架时,对"请求上下文"这个基础概念有了更多的了解,因此记录一下,包括以下内容:"请求上下文"是什么...
API安全测试的小技巧
随着RESTful API、GraphQL API等API技术的发展,掌握API安全技术是渗透测试工程师的一项基本技能,在渗透测试过程中会用到各种API安全工具和技巧,其中API安全小贴士...
(CVE-2021-3297)Zyxel NBG2105 身份验证绕过
fofa语句:app="ZyXEL-NBG2105"我们随便点一个进入接着使用POCGET /login_ok.htmHost:xxx.xxx.xxx.xxxcookie:login=1直接...