CJ Blog

Failing means foolish.

Python 代码审计与安全编码

日就完事了

Python 代码审计与安全编码 Python 应用框架 Django Flask Tornado Web.py Python Web 漏洞距举例 Django debug page XSS 漏洞 Django 1.6 版本前 seesion 反序列化任意代码执行 Djan...

PHP 代码审计与安全编码

日就完事了

PHP 代码审计与安全编码 代码审计的目的 目的决定行为 代码审计前的准备 得到代码 开源程序 非开源程序(黑盒扫描) 得到平台信息 php 版本及 php.ini 一些基本配置, os配置, web 服务信息, 数据...

Web 前端漏洞

日就完事了

Web XSS cookie document.cookie 修改 cookie 时需要不可改变 domain 与 path 否则会生成新的 cookie, 可以理解为 domain 与 path 是 cookie 的候选码 具体见 ppt 浏览器解析方式 词法分析 语法分析 DOM 树 Token Htmltoken 类 HTML 实体预...

Web基础漏洞

日就完事了

Web 基础漏洞 文件上传与命令注入 产生原因 服务器配置不当 开源编辑器上传漏洞 本地文件上传限制被绕过 过滤不严或被绕过 文件解析漏洞导致文件执行 文件路径截断 上传检测流程概述 客户端 JS 检测 服务端 MIME 检测 服务端目录路经检测 服务器文件拓展名检测 服务端文件内容检测 客户端检测绕过(JS检测) 智障...

PHP 绕过 preg_match 数字与字母的正则表达式

梅子酒天下第一

Writeup 环境地址 求不要日站 <?php include 'MeizijiuPhpFlag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)>40){ die("Long."); } if(preg_match("/...

Web Tools

让我们愉快的做一个脚本小子

Web Tool 分类: 注入 -Sqlmap 请求修改 BurpSuite 服务器管理 Cknife 扫描器 Nmap ...

Web 简介

Web就是搞事情

Web 简介 WIKI 什么是 Web 安全 安全问题 Getshell 数据泄露 数据篡改 恶意挂马 内网渗透 … Web类通常涉及到的方面 SQL 注入 XSS CSRF 文件上传 文件包含 ...

MISC

MISC就是脑洞

MISC WIKI Recon 信息搜集 社工(可通过喜欢的妹子练习,#滑稽) Encode 编码解码以及相互间的转换 Bin(二进制) Dec(十进制) Hex(十六进制) 条形码 二维码 Base全家桶: Base64 –> Base编码图片 Base32 Base16 ...

Crypto

密码学就是数学

密码学 WIKI 古典密码学 替换加密 单表替换加密 一种映射(基本是一一映射) 破解方法 密钥空间过小时 爆破! 分析网站 凯撒密码 移位 攻击 爆破 空间变大的凯撒密码?凯撒密码还要什么自行车,直接爆破 若不改变距离,简化方法,将乱码移位到可见空间内...