- 2024-11-19接口测试之fiddler(10.2)
一、fiddler包安装路径也尽量不要有中文安装步骤:略二、Fiddler简介fiddler是C#开发免费web调试工具之一,记录所有客户端和服务端常见的http以及https请求,可监视设断点,甚至修改输入输出数据,它还包含了一个强大的基于事件脚本的子系统,并且能使用.net语言来拓展。Fidd
- 2024-11-17Python学习从0到1 day28 Python 高阶技巧 ⑥ Socket服务端开发
我们终将上岸,阳光万里 ——24.11.13一、Socketsocket(简称套接字)是进程之间通信一个工具,好比现实生活中的插座,所有的家用电器要想工作都是基于插座进行。进程之间想要进行网络通信需要socket。Socket负责进程之间的网
- 2024-11-12【Playwright + Python】系列(十)利用 Playwright 完美处理 Dialogs 对话框
哈喽,大家好,我是六哥!今天我来给大家分享一下如何使用playwight处理Dialogs对话框,面向对象为功能测试及零基础小白,这里我尽量用大白话的方式举例讲解,力求所有人都能看懂,建议大家先收藏,以免后面找不到。
- 2024-11-08[极客大挑战 2019]Http 1
[极客大挑战2019]Http1代码审计发现页面Secret.php访问后显示页面,判断这题为头信息伪造Hackerbar梭哈,最终payload为GET/Secret.phpHTTP/1.1Host:node5.buuoj.cn:25132User-Agent:SycloverAccept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0
- 2024-11-08【Spring Boot安全】Spring Boot 测试技巧
原创1ang小羊安全屋一、SpringBoot介绍SpringBoot是一个开源的Java框架,旨在简化Spring应用的创建和部署过程。它是Spring平台和第三方库生态的一部分,由Pivotal团队开发。SpringBoot旨在让开发者能够更快速地启动和运行新的Spring应用程序,通过提供默认的配置帮助快速启
- 2024-11-01[ACTF2020 新生赛]Exec
题目链接:https://buuoj.cn/challenges#[ACTF2020新生赛]Exec。打开后,环境如下。尝试输入"127.0.0.1",抓取请求包。POST/HTTP/1.1Host:038dc28f-5191-4958-8946-1127f62ad770.node5.buuoj.cn:81Content-Length:16Cache-Control:max-age=0Upgrade-Insecure-Requests:
- 2024-10-31[ACTF2020 新生赛]Exec
题目链接:https://buuoj.cn/challenges#[ACTF2020新生赛]Exec。打开后,环境如下。尝试输入"127.0.0.1",抓取请求包。POST/HTTP/1.1Host:038dc28f-5191-4958-8946-1127f62ad770.node5.buuoj.cn:81Content-Length:16Cache-Control:max-age=0Upgrade-Insecure-Requests:
- 2024-10-30RouterSrv路由服务
RouterSrv完成服务ROUTING开启路由转发,为当前实验环境提供路由功能。根据题目要求,配置单臂路由实现内部客户端和服务器之间的通信。IPTABLES添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。INPUT、OUTPUT和FOREARD链默认拒绝(DR
- 2024-10-22CVE-2023-2766
一.漏洞描述泛微E-Office是一款企业级的全流程办公自动化软件,它包括协同办公、文档管理、知识管理、工作流管理等多个模块,涵盖了企业日常工作中的各个环节。该产品configfile存在信息泄露二.漏洞影响版本E-Office9.5三.网络空间测绘查询fofaapp="泛微-Eoffice"四.
- 2024-10-12某普SSLVPN 任意文件读取
0x01产品描述: 迪普科技的VPN产品是一款面向广域互联应用场景的专业安全网关产品,集成了IPSec、SSL、L2TP、GRE等多种VPN技术,支持国密算法,实现分支机构、移动办公人员的统一安全接入,提供内部业务跨互联网的安全访问。该产品支持基于用户、应用的安全策略,提供攻击防
- 2024-10-11DATAGERRY REST API身份验证绕过漏洞(CVE-2024-46627)
0X01产品描述: DATAGERRY是一个灵活的开源CMDB和资产管理工具,它完全将数据模型的定义留给用户。用户只需在一个易于使用的webfrontend中定义自己的对象类型(如服务器、路由器、租赁线路、位置等)。通过DATAGERRY的导出API,存储在DATAGERRY中的CMDB对象可以轻
- 2024-10-10python程序停到这个地方 client_socket, address = server_socket.accept()
停到这个地方 client_socket,address=server_socket.accept() 这行代码是在等待客户端的连接请求。server_socket.accept()是一个阻塞调用,它会一直等待有客户端连接上来,然后返回一个新的套接字对象client_socket和客户端的地址address。如果你的程序在这一行停止,可能
- 2024-10-09Kali && Debain 防火墙规则
Kali&&Debain防火墙规则查看防火墙规则iptables-L-n-viptables-L-n-v增加防火墙规则:开放指定的端口iptables-AINPUT-s127.0.0.1-d127.0.0.1-jACCEPT#允许本地回环接口(即运行本机访问本机)iptables-AINPUT-mstate--state
- 2024-10-09Kali Linux 各版本开启ssh 服务
KaliLinux各版本开启ssh服务2019版kaliLinuxSSH链接办法修改kali关于SSH服务默认配置并重启SSH服务,步骤如下:打开sshd_config文件leafpad/etc/ssh/sshd_config或者vi/etc/ssh/sshd_config将PasswordAuthenticationyes该行前面的#去掉将#PermitRootLoginw
- 2024-10-09打卡信奥刷题(018)用C++信奥P9496[普及组/提高] 「RiOI-2」hacker
「RiOI-2」hacker题目背景在小树丛边坐落着一个幻想的城堡。这里是E国的领地,而小E,则是E国之王。现在,伟大的E国之王正在披挂出征。不过听说E国之王遇见了两个叫ACCEPT和BOTH的人,他们是谁?题目描述现在有正整数n
- 2024-10-08CVE-2021-41773目录穿越漏洞复现并利用得到flag
前提概要首先!遇到一道题目,根据题意可知:这道题目存在CVE-2021-41773漏洞。先来了解一下CVE-2021-41773的漏洞原理:漏洞原理CVE-2021-41773是一个影响ApacheHTTPServer(httpd)的安全漏洞,影响版本为2.4.49版本。它是一个路径遍历漏洞,如果文档根目录以外的文件不受requi
- 2024-09-29哥斯拉流量特征
.php:eval_xor_base64加密格式下连接时会发送三个数据包:首包post数据挺大,返回包内容为空。且包中的eval函数和base64加密函数挺明显剩下两个包请求体小,一个返回数据为加密后的ok,最后一个是返回加密后目标的基本环境信息。发送的数据包请求体特征为两个参数pass=和key=,这两个参
- 2024-09-26Cookie和Header
1.CookiefromtypingimportUnionfromfastapiimportCookie,FastAPIapp=FastAPI()@app.get("/items/")asyncdefread_items(ads_id:Union[str,None]=Cookie(default=None)):return{"ads_id":ads_id}http://127.0.0.1:8000/i
- 2024-09-22python爬虫连载 HTTP请求头
HTTP头部信息HTTP由众多头域组成,每个头域由域名、冒号、域值三部分组成。域名是大小写无关的, 请求头:1GET代表的是请求方式,HTTP/1.1表示使用HTTP1.1协议标准。2Host头域,用于指定请求资源的Intenet主机和端口号,必须表示请求URL的原始服务器或网关的位置。HTTP/1.1请求必须
- 2024-09-22Nacos未授权下载配置信息
0x01漏洞描述: Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。Nacos存在未授权文件下载,攻击者在不登录情况下可未授权下载系统配置文件。 攻击者利用该漏洞可未授权获取到系统配置文件,如数据库和Redis连接地址,登录
- 2024-09-229.9付费进群系统 wxselect SQL注入漏洞复现
0x01漏洞描述:2024年9.9付费进群Plus版系统是一种新的社群管理方式,用户通过支付9.9元人民币即可加入特定的微信群,享受群内提供的服务或资源。这种模式通常用于知识分享、资源下载、专业交流等社群,通过设置门槛来筛选成员,提高群组的专业性和互动质量。在位于/group/controlle
- 2024-09-18jmeter压测中请求头参数accept-encoding对压测的影响
1、首先来做一个实验:对接口进行压测,且所有接口的请求头都不传参数accept-encoding:gzip,deflate,br,zstd进行压测,使用聚合报告进行数据统计显示如下:可以观测到接收的KB/sec中的流量如下: 2、对接口进行压测,且所有接口的请求头都传参数accept-encoding:gzip,deflate,br,
- 2024-09-17安全: nftables基础知识系列之二:查看规则/删除规则
一,查看规则查看所有规则[root@192~]#nftlistrulesettableinetmy_table{chainmy_chain{typefilterhookinputpriorityfilter;policyaccept;tcpdport22accepttcpdport80accept
- 2024-09-17安全:nftables:基础知识
一,policy:1,原文档链接:https://docs.redhat.com/zh_hans/documentation/red_hat_enterprise_linux/9/html/configuring_firewalls_and_packet_filters/assembly_creating-and-managing-nftables-tables-chains-and-rules_getting-started-with-nftables#con_basics-of-nftables
- 2024-09-17Spring框架漏洞总结
目录SpEL注入攻击SpringH2DatabaseConsole未授权访问SpringSecurityOAuth2远程命令执行漏洞(CVE-2016-4977)SpringWebFlow远程代码执行漏洞(CVE-2017-4971)SpringDataRest远程命令执行漏洞(CVE-2017-8046)SpringMessaging远程命令执行漏洞(CVE-2018-1270)SpringDataCom