背景: 在WEB安全的学习过程中,了解过了原理之后,就是学习各种Payload,这里面蕴藏着丰富的知识含量,是在基本上覆盖了漏洞原理之后的进一步深入学习的必经之路.无理是Burpsuite还是Sqlmap.Awvs亦或是其他工具,包括人工收工构造的Payload都有很高的记录和学习意义,一方面如上所说的提高对WEB安全的掌握和理解,另一方面也对WEB安全自动化测试做积累. 需求: 记录WEB安全各种报文payload的工具 开发语言: Python2.7 依赖第三方库: pypcap dpkt…

一.SQL盲注: 看不到回显的,无法从返回直接读取到数据库内容的对数据的猜解,属于盲注. 二.第一种--基于布尔类型的盲注: 这种很简单,最典型的例子,就是挖SQL注入的时候常用的: ''' http://www.localhost.com/sqlinjection?id=1'%20and%20'1'='1 http://www.localhost.com/sqlinjection?id=1'%20and%20'1'='2 ''' 实战时.前面一个判断是永真的时候,拼接一个判断,例如[subst…

一.什么是XXE 1.XML实体简介 (1)在一段时间中,XML都是WEB信息传输的主要方法,时至今日XML在WEB中作为前后台之间传递数据的结构,依然发挥着重要的作用.在XML中有一种结构叫做实体: (2)一般其定义的标签关键字ENTITY,分为如下两种: 一般实体<!ENTITY entity_name "entity_text"> 引用实体&name 参数实体!ENTITY % entity_name "entity_text"> 引…

一.通配符简介: 一般来讲,通配符包含*和?,都是英文符号,*用来匹配任意个任意字符,?用来匹配一个任意字符. 举个例子使用通配符查看文件,可以很名下看到打卡的文件是/etc/resolv.conf: └─[$]> /???/r????v.c??f # # macOS Notice # # This file is not consulted for DNS hostname resolution, address # resolution, or the DNS query routing m…

一.CORS领域问题: 1.CORS的介绍请参考:跨域资源共享简介 2.HTML5中的XHR2级调用可以打开一个socket连接,发送HTTP请求,有趣的是,上传文件这里恰恰是multi-part/form-data恰恰符合要求,不需要preflight,所而且可以带cookie等认证信息.完美的绕过了所有的跨域共享防御机制. <script language=javascript type=text/javascript> functiongetMe() { varhttp; http=ne…

一.URL跳转篇: 1.原理:先来看这段代码: <?php if(isset($_GET["url_redircetion_target"])){ $url_redirected_target = $_GET["url_redircetion_target"]; echo "<script>alert(\"Pass To The Next URL\")</script><br><scrip…

本篇文章接前一篇,建议可以先看前篇文章,再看本文,会有更好的效果. 前一篇跳转链接:https://www.cnblogs.com/weskynet/p/15046999.html 正文: Autofac通过构造函数注入 如前一篇所示,获取实例都是通过构造函数进行.此处通过构造函数获取实例,还有一种通过构造函数传入IServiceProvider进行获取.该方法可以极大减少构造函数传入的实例过多所导致的构造函数参数臃肿.示例直接使用前篇项目做拓展,在控制器的测试api下面,直接使用.有关示例如下…

版本:Pycharm2017.3.4Professional Edition 一.Pycharm的基本使用1.在Pycharm下为你的python项目配置python解释器 file --settings ---Project:你的项目名---Project Interpreter ---在右侧选择你需要的python版本---apply---ok 2.在Pycharm下创建python文件.python模块 (1) File---New---Python File (2) File---New…

秒懂Vuejs.Angular.React原理和前端发展历史 2017-04-07 小北哥哥 前端你别闹 今天来说说 "前端发展历史和框架" 「前端程序发展的历史」 「 不学自知,不问自晓,古今行事,未之有也 」 我们都知道如今流行的框架:Vue.Js.AngularJs.ReactJs.已经逐渐应用到各个项目和实际应用中,它们都是MVVM数据驱动框架系列的一种. 在了解MVVM之前,我们先回想一下前端发展的历史阶段,做到心中有数,才会更好理解. 这段回想历史.由于网上就可查不少资料,…

1.简介 前边几篇文章是宏哥自己在本地弄了一个单选和多选的demo,然后又找了网上相关联的例子给小伙伴或童鞋们演示了一下如何自动化测试,这一篇宏哥在网上找了一个问卷调查,给小伙伴或童鞋们来演示一下.上一篇中的一些单选和多选的基本概念都介绍了,这里就不做赘述了.直接上项目实战. 2.项目实战 2.1问卷调查 1.测试问卷调查的地址: https://www.sojump.com/m/2792226.aspx/ 2.问卷页面,如下图所示: 2.2答题思路 自动化测试答题思路,其实和前边单选多选的遍历…