HTTP协议概述 # HTTP 对 TCP 连接的使用,分为两种方式:俗称“短连接”和“长连接” ;HTTP/1.1 默认使用长连接(持久化连接) 与HTTPS的主要区别 HTTP是明文传输;HTTP...
WebSocket安全问题分析(一)——什么是WebSocket? #
一、什么是WebSocket? # WebSocket是通过HTTP协议发起的一个双向全双工的通信协议。WebSocket协议被广泛用在现代WEB程序中用于数据流的传输和异步通信。 二、WebSock...
数据抓包及分析实战
一、为何要进行数据抓包(一)网络故障排查通过抓包可以捕获网络通信中的数据包,帮助分析和定位网络故障的原因。可以查看数据包的源地址、目标地址、协议类型、错误代码等信息,以确定网络传输过程中的问题。(二)...
EPScan被动漏洞扫描工具自动进行SQL注入检测(插件化 自动Bypass)、XSS检测、敏感信息检测|漏洞探测
0x01 工具介绍 EPScan 是一款用于被动资产收集和自动化漏洞检测的工具,支持 SQL 注入、XSS、RCE 和敏感信息检测。它具有插件化架构,允许用户编写和加载自定义的 Bypass 插件。该...
剖析Cookie的工作原理及其安全风险
Cookie的工作原理主要涉及到HTTP协议中的状态管理。HTTP协议本身是无状态的,这意味着每次请求都是独立的,服务器不会保留之前的请求信息。为了在无状态的HTTP协议上实现有状态的会话,引入了Co...
Web API 渗透测试指南
概述API(Application Programming Interface,应用程序编程接口)是一个允许不同软件应用程序之间进行通信和数据交换的接口。API定义了一组规则和协议,软件开发者可以使用...
从旁站入手进行攻击
本文约2510字,阅读约需7分钟。之所以讲旁站渗透,是因为现在主站基本上防护的都比较到位,在主站发现不了什么问题,因此只能从旁站、子站、C段找脆弱资产,并对其进行扫描。话不多说,立刻动手。1过程首先是...
如何判断API接口类型及漏洞分类管理方法?|
0x1本周话题 话题一:请教大佬,api接口怎么判断是tcp的还是http的?问开发,说都是tcp,最后可能用的http。 A1:可以口语化一点,如果问他是不是http协议他回答有误,那就问...
| 批量刷洞方法
1:某空间测绘导出需要的资产,复制带有http协议的资产 创建一个文本,复制进去 直接查找进行替换,https也是一样的 找到一个有漏洞的url,抓包发送到Intruder模块 选择ta...
Tomct-WebSocket内存马
0x00 WebSocket简介WebSocket是一种在Web浏览器和Web服务器之间实现全双工通信的协议,它允许实时双向数据传输。与传统的HTTP请求-响应模式不同,WebSocket提供持久性连...
如何优雅的批量打通杀
本文由掌控安全学院 - 17828147xxx 投稿1:某空间测绘导出需要的资产,复制带有http协议的资产 创建一个文本,复制进去 直接查找进行替换,https也是一样的 找到一个有漏洞的url,抓...
HTTP响应头作用和HTTP关系
HTTP响应头是HTTP响应中的一部分,包含了关于服务器的信息、响应状态、以及其它有关资源本身和请求的信息。这些信息以键值对的形式存在,每个键后面跟着一个冒号和一个空格,然后是值。HTTP响应头对于网...