- 博客(14)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 Python装饰器
1.装饰器原理装饰器(Decorator),通过利用函数特性的闭包实现,能够动态为一个函数、方法或者类添加新的行为,而不需要通过子类继承或直接修改函数的代码来获取新的行为能力。装饰器的作用就是为已经存在的对象添加额外的功能或者减少重复代码的使用。比如定义一个装饰器专门处理日志,日志处理完之后在执行真正的业务代码。1.1 函数特性1)函数作为变量传递,可以赋值def sum(x,y): return x+y test = sum test(1,2)2)函数作为参数传递def sum(x,
2022-02-10 11:24:22
564
原创 漏洞扫描工具汇总
漏洞扫描器可以快速帮助我们发现漏洞,如SQL注入漏洞、CSRF、缓冲区溢出等。下面就介绍几种常用的漏洞扫描工具。Fortify代码审计工具Fortify SCA (Fortify Static Code Analyzer),一款软件代码安全测试工具,提供静态源码扫描能力,包含了五大引擎分析系统:语义、结构、数据流、控制流、配置流。分析的过程中与特有的软件安全漏洞规则集进行全面的匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并生成报告。Burp SuiteAWVSAppScanDependen
2021-07-21 14:28:32
6049
原创 命令执行漏洞
命令执行漏洞原理命令执行漏洞指攻击者可以随意调用执行操作系统命令。注:与代码执行漏洞区分开,代码执行漏洞是靠执行脚本代码调用操作系统命令,用户提交的参数被服务器当作动态代码执行或当作一个被包含的文件,如:eval(system('rm -rf /tmp/');); eval($_GET['cmd']);任何脚本语言都可以调用操作系统命令。php提供部分函数用来执行外部应用程序,system()、shell_exec()、exec()、proc_open()、shell_exec() 和passthr
2021-07-19 10:33:18
245
原创 钓鱼攻击与防御
前言钓鱼邮件攻击是社会工程学攻击中一种常见的手段,其目的是欺骗用户进行一些操作,最终得到受害用户相关信息,如账号密码、银行卡号、身份证号、金钱等。一般来说,钓鱼邮件从后续的攻击手段来说,可以分为两类:1)纯粹利用社会工程学手段对用户进行欺骗,和电信诈骗手段类似。2)诱导用户点击一些链接,然后使用CSRF、XSS、伪造登录网站等技术方式来进行进一步攻击。钓鱼冒充方式1)利用链接的显示与实际不同进行欺诈这种欺骗方法很好理解,一个超链接有两部分,一部分是显示出来的文本,另一部分是这个指向的URL,通常
2021-07-15 16:42:38
746
原创 SQL注入漏洞
SQL注入原理SQL注入漏洞形成原因:用户输入的数据被SQL解释器执行,一般是直接拼接SQL造成的。SQL注入的危害:脱库,修改数据,管理数据库,写入文件,泄露用户信息,执行命令等。示例:原始SQL:select * from users where username='$username' and password='$password'用户提交数据:$username = 1’ or ‘1’ = ‘1; $password = 1’ or ‘1’ = '1select * from us
2021-07-14 16:36:18
276
原创 Nginx负载均衡
负载均衡原理负载均衡:顾名思义,是一种策略,用于防止一台服务器过载,而其他服务器闲置情况发生的策略。当客户端发起一个请求后,负载均衡会通过预先设定好的策略将该请求转发给上游的服务器进行处理。负载均衡调度算法轮询:(Round-Robin):每一次把来自用户的请求轮流分配给内部中的服务器,从1开始,直到N(内部服务器个数),然后重新开始循环。权重(weight):指定轮询几率,weight和访问比率成正比,主要用于后端服务器性能不均的情况,默认每个服务器的weight权重是1,如果后端服务器dow
2021-07-13 16:46:21
94
原创 CSRF攻击与防御
CSRF原理CSRF:Cross-site request forgery,跨站请求伪造,也被称为 one-click attack / session riding,缩写: CSRF 或者 XSRF。攻击方式:挟制用户在当前已登录的Web应用程序上执行非本意的操作。简单理解为盗用用户的身份,发送恶意请求,此攻击容易造成个人隐私泄露和财产安全。与跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。浏览器在接收到这些攻击性代码后,根据网站B的
2021-06-09 11:46:26
158
原创 androguard-----python语言中Android恶意软件分析工具
https://blog.csdn.net/mergerly/article/details/65443821http://www.ijd8.com/topic/33/用python分析apk文件里的androidmanifest.xml-文件获取包信息https://www.jianshu.com/p/1deba8b28cc4
2018-11-16 10:27:44
1986
原创 XSS构造与防御
XSS原理XSS构造方法https://blog.csdn.net/qq_33605106/article/details/79758230http://www.freebuf.com/column/153458.htmlxss<script>
XSS防御措施https://blog.csdn.net/strike2206/article/details/...
2018-11-01 17:58:19
2515
1
原创 redis安装与使用实例
redis简介与安装redis简介1、内存数据库内存数据库简述:磁盘数据库(DRDB:Disk-Resident Database)需要频繁地访问磁盘来进行数据的操作,由于对磁盘读写数据的操作一方面要进行磁头的机械移动,另一方面受到系统调用时间的影响,当数据量很大,操作频繁且复杂时,就会暴露出很多问题。内存数据库(MMDB:Main Memory Database)相对于磁盘,内存的数据读写...
2018-10-11 15:51:02
205
原创 Web安全渗透测试工具metasploit的安装和使用
Step1:进到安装目录(安装目录不固定,随自己心意)cd /home/lixiaoyun 依次执行上面的三条命令即可安装成功 进入msf终端输入msfconsole 当打开msfconsole后,红色的方框里面清楚的标记了metasploit所有的利用模块、payload、post模块等等。 msfconsole有两个查看帮助的选项。一个是msfconsole...
2018-07-09 15:29:28
9583
原创 JavaScript基础知识积累
函数声明式函数(命名方式):function test(){alert(“hello”)};代码先于函数执行代码被解析器解析引用式函数(匿名方式):var test = function(){alert(“hello”)};函数运行中进行动态解析的...
2018-06-12 10:30:24
284
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人