作者本身也是刚接触nodejs,所以在知识面方面还存在很多漏洞。nodejs下载地址:http://nodejs.org/在Window下面安装的(msi文件),就是纯自动的,选择添加到环境变量和安装路径就ok了。可以打开cmd命令台,通过输入命令
node 进入编译模式,做一些短代码的测试。一般情...
分类:
Web程序 时间:
2014-05-26 11:04:17
阅读次数:
465
解决方案:1.在对应的模板中, 为每个POST的form添加一行代码:{% csrf_token
%}。 如下所示: {% csrf_token %} {{ form.as_table }} 2.在对应的views.py中, 使用
django.templa...
分类:
其他好文 时间:
2014-05-26 10:03:05
阅读次数:
276
章节概述
本章节涉及到所有的网络层,因为每个网络层都可能会有漏洞被黑客利用。网络安全的目的就是对付各种各样的网络威胁,通常我们使用加密技术来防止漏洞。但是本章只是网络安全的一个概要。如果你感兴趣的话可以参加另一门网络安全的课程。
网络安全就像性能,有些人非常看中安全,有些人却不一定需要。网络安全最关键的部分是建立威胁模型,描述威胁的原理以及攻击者能利用威胁做什么...
分类:
其他好文 时间:
2014-05-26 06:00:11
阅读次数:
531
1、Nikto2简介:Nikto2
是一款使用perl语言写的多平台扫描软件,是一款命令行模式的工具,它可以扫描指定主机的WEB类型主机名、特定目录、Cookie、特定CGI漏洞、XSS漏洞、sql注入漏洞、返回主机允许的http方法等安全问题。位置:/pentest/web/nikto
用法 1....
分类:
Web程序 时间:
2014-05-26 04:41:42
阅读次数:
235
Wfuzz简介:Wfuzz是一款用来进行web应用暴力猜解的工具,支持对网站目录、登录信息、应用资源文件等的暴力猜解,还可以进行get及post参数的猜解,sql注入、xss漏洞的测试等。该工具所有功能都依赖于字典。位置:/pentest/web/wfuzz用法就是把你想进入测试的地方用FUZZ代....
分类:
Web程序 时间:
2014-05-26 02:14:32
阅读次数:
353
想写这个主要是因为我去谷歌搜到的攻略都是英文,看着有点吃力(菜B英语不好) ,
然后就是分享交流技术。比较有意思的一个闯关游戏(适合新手)
网站是:http://overthewire.org/wargames/narnia/游戏主要涉及基础的漏洞利用(环境是LINUX下的)下面就开始吧,LINUX...
分类:
其他好文 时间:
2014-05-26 00:34:04
阅读次数:
1073
Udacity调试课第四单元,看是何理论可以自动地找出引起程序崩溃的根源漏洞。...
分类:
其他好文 时间:
2014-05-25 18:14:16
阅读次数:
279
1.漏洞获取方法
1)扫描器扫描 2)乌云 3)线上服务漏洞
例子:
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件
2.入侵原因
1)好玩 2)拖库,目的,获得各种账号密码。同样账号在其他地方的密码有可能一致。
3)删文章,挂黑链,不正当竞争攻击
3.常见漏洞
1)sql注入 2)xss
4.一些获...
分类:
Web程序 时间:
2014-05-25 02:00:10
阅读次数:
272
原理
这个漏洞实际上非常简单,ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理。
ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码。
而在ElasticSearch里,默认配置是打开动态脚本功能的,因此用户可以直接通过http请求,执行任意代码。
其实官方是清楚这个漏洞...
分类:
其他好文 时间:
2014-05-24 18:04:15
阅读次数:
223
