加载中
img标签src属性值中http协议和https协议的区别

问题:今天给站点配置了证书之后,打开页面发现页面显示异常,同时提示该页面不安全,右上角提示js和图片等资源被拦截,最初以为是证书的问题,反复查看证书配置问题发现证书配置是正常的,如...

06/03 10:11
9
HTTP请求头安全策略

1.X-Frame-Options 如果网站可以嵌入到IFRAME元素中,则攻击者可以在社交场合设计一种情况,即受害者被指向攻击者控制的网站,该网站构成目标网站的框架。然后攻击者可以操纵受害者在目标网站...

web应用http转https

网上看到说有两种http转https的方法: 1、tomcat打开8443或443端口之后,修改web.xml配置https作用路径即可实现 2、tomcat打开8443或443端口之后,创建filter类将http转为https 以下介绍的是...

03/11 10:21
11
sql注入——想要知道后台数据库类型,怎么做?

即使sql语言是标准的,每一种数据库有自己的特点,在很多方面都是不同的,比如,提取数据(用户名和数据库,特征,注释)的命令和函数都是不同的。 当测试人员转向更高级的SQL注入开发时,他...

cer格式证书怎么转换为pfx格式

1、准备工作:安装好openssl,将私钥key文件拷入openssl安装目录,准备cer格式证书。 2、以管理员权限运行cmd 3、进入openssl安装目录 4、输入以下命令: 会提示输入密码,保存好这个密码,安...

01/17 15:31
47
访问burpsuite不能截取https数据包的问题

1、导入证书打开端口,配置好浏览器代理(以firefox为例) 2、在地址栏输入http://burp,回车下载证书 3、注意这里的证书不能是零字节,不然去找破解版 4、最后就是向浏览器中导入证书,在f...

01/17 15:22
11
nmap端口检测命令总结&kali自带wafw00f工具

使用nmap目的是为了检测目标机开放的端口情况。 一、检测端口情况 第一步:检测目标机是否开启(nmap -sn * 命令) 第二步:检测目标机开放的端口,分别向1000个TCP端口发送探测包,若有回应...

2018/11/27 18:07
232
metasploit 图形化工具armitage启动方式

1、在命令行输入msfdb init后,再输入armitage即可 2、在msfconsole命令行中输入armitage直接启动

2018/11/27 15:42
49
不常用加密算法总结笔记

1、凯撒加密 凯撒加密是很古老的加密方法,利用了字母错位的方式进行加密。 2、栅栏密码 所谓栅栏密码,就是把要加密的明文分成N个一组,然后把每组的第1个字连起来,形成一段无规律的话。一...

2018/11/23 14:46
9
beef+metasploit配置方法

网上的教程很多了,但是自己配置的时候还是会遇到各种各样的问题,这篇主要是为了自己以后再次配置查阅。 一、修改beef配置文件config.yaml(目录:/usr/share/beef-xss),将metasploit下的e...

2018/11/22 13:40
118
kali安装软件遇到的问题&解决

1、kali sudo apt install 无法定位软件包 参考:https://blog.csdn.net/blackrosetian/article/details/79862565 2、kali源更新失败(数字签名无效或没有数字签名) 参考:https://blog.cs...

2018/11/20 11:00
311
实验吧-头有点大-http头部用户代理参数

1、题目概览 提示很明确,需要三个条件,第一个是安装.net9.9框架 第二个是保证在英国地区 第三个是用ie浏览器。 怎么满足呢? 可以通过修改http头部来满足,首先了解一下http头部中的user-...

2018/11/09 13:31
29
实验吧-貌似有点难-http头部ip地址伪造

首先,先来看这道题的源码: <?php function GetIP(){ if(!empty($_SERVER["HTTP_CLIENT_IP"])) $cip = $_SERVER["HTTP_CLIENT_IP"]; else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) $c...

2018/11/09 11:17
25
sqlmap常用注入点检测&爆破命令

1、检测注入点是否可用 python sqlmap.py -u "url" 2、从目标url爆破所有数据库名 python sqlmap.py -u "url" --dbs 3、从目标url爆破当前数据库名 python sqlmap.py -u "url" --current-db...

2018/11/07 10:27
50
实验吧-FALSE

源码: <?php if (isset($_GET['name']) and isset($_GET['password'])) { if ($_GET['name'] == $_GET['password']) echo '<p>Your password can not be your name!</p>'; else if (sha1(.....

2018/11/05 14:39
11
实验吧-once more

解题关键知识点: ereg函数有两个漏洞 1、00截断 2、当ntf为数组时它的返回值不是FALSE 1、利用第一个漏洞 ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,...

2018/11/05 13:51
14
实验吧-忘记密码了&天网管理系统

解题方案网上已经有一堆了,这里主要总结下get到的知识点。 1、php中的字符串比较 当php进行一些数学计算的时候,当有一个对比参数是整数的时候,会把另外一个参数强制转换为整数。注:bool类...

PHP
2018/11/05 10:14
31
Weblogic补丁升级操作步骤

linux平台: weblogic1036 1:停止weblogic服务 2:打FMJJ补丁 a:获取weblogic_home目录并执行命令:export weblogic_home="/weblogic/wls1036_x64",(此目录一般为目录“user_projects”上...

2018/10/20 15:39
106
testssl.sh检测工具

testssl.sh是一个免费且开源的功能丰富的命令行工具,用于在Linux/BSD服务器上检查支持加密,协议和一些加密缺陷的支持TLS/SSL加密的服务。 它可以使用MSYS2或Cygwin在MacOS X和Windows上运行...

实验吧-who are you解题(时间盲注)

打开链接,展示内容如下所示: 分析:首先想到这可能是要伪造ip的题目,然后利用伪造IP的HTTP头(例如:X-Forwarded-For等)。burp中成功进行伪造,如下图所示: 响应结果: 发现可以成功进行...

2018/10/08 15:08
34

没有更多内容

加载失败,请刷新页面

返回顶部
顶部