- 博客(6)
- 收藏
- 关注
RSS订阅
1原创 Burp Suite抓取HTTP和HTTPS数据包
本地环境Firefox 82.0.3 JDK 1.8.0 Burp Suite Community Edition v2020.11一、Burp Suite抓去做HTTP数据包1. 配置代理浏览器(1)Firefox:打开菜单——首选项——常规——网络设置——设置代理服务器(2)利用插件SwitchyOmega2. 配置Burp Suite的代理侦听IP和端口(注意IP和端口要与1设置的一致)二、Burp Suite抓去做HTTPS数据包通常情况下Burp
2020-11-15 14:16:09
1777
原创 SSRF漏洞
漏洞介绍服务端请求伪造攻击(Server-side Request Forgery)简称SSRF,是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统),当WEB应用提供了从其他服务器获取数据的功能,但没有远程服务器地址和远程服务器返回的信息进行合理的验证和过滤,就可能存在SSRF,致使可以利用发起网络请求的服务来攻击其他服务。SSRF与CSRF的区别CSRF是服
2020-07-02 18:25:06
690
原创 SRC之逻辑漏洞挖掘
挖掘逻辑漏洞一般方法:1. 发现网站所提供的功能模块;2. 针对具体的功能确定业务流程;3. 拦截HTTP/HTTPS请求,分析其参数的含义;4. 修改参数值,尝试出发逻辑漏洞;5. 返回第2步骤,对其他功能继续测试。越权漏洞越权漏洞可能存在的地方:增、删、改、查、详情、导出等功能点。根据不同的维度可分为:水平越权(也称平行越权)、垂直越权和交叉越权。水平越权:权限类型不变,权限ID改变(同一角色不同用户)。出现在同一个角色上,系统只验证了能访问数据的角色而没有对角色内的
2020-06-19 17:36:46
2118
原创 Python3之Socket编程学习笔记
实验环境:Python3.7.0socket格式:socket([family[, type[, protocol]]])使用给定的协议族(协议族决定了socket的地址类型,在通信中必须采用对应的地址)、套接字类型、协议编号来创建套接字。若用socket.socket()来创建套接字,则采用默认参数为(socket.AF_INET,socket.SOCK_STREAM,0)。 ...
2019-03-02 13:38:23
429
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人