一.概述: XSStrike是一个Cross Site Scripting检测套件,配备四个手写解析器,一个智能有效载荷生成器,一个强大的模糊引擎和一个非常快速的爬虫. XSStrike不是像其他工具那样注入有效负载并检查其工作,而是通过多个解析器分析响应,然后通过与模糊引擎集成的上下文分析来保证有效负载.以下是XSStrike生成的有效负载的一些示例: }]};(confirm)()//\ <A%0aONMouseOvER%0d=%0d[8].find(confirm)>z </tiT

0x00 起 前一段时间,因为工作原因接触到XSS漏洞检测.前人留下的锅,是采用pyqt webkit来解析网页内容.作为Python webkit框架,相比于PhantomJS,pyqt在捕获错误,重载函数等方面有比较多的优势,但pyqt也有很有缺点:占用资源较多.底层解析还是用C++,许多错误是C++直接抛出的,Python依然无法捕获.历史遗留等等问题. 最近做毕设,考虑到以上的优缺点,动态解析部分采用了PhantomJS来编写.本文就介绍一下XSS动态解析的思路及部分关键代码.   0x

python检测文件的MD5值MD5(单向散列算法)的全称是Message-Digest Algorithm 5(信息-摘要算法),经MD2.MD3和MD4发展而来.MD5算法的使用不需要支付任何版权费用. #python 检测文件MD5值 #python version 2.6 import hashlib import os,sys #简单的测试一个字符串的MD5值 def GetStrMd5(src): m0=hashlib.md5() m0.update(src) print m0.he

使用python检测一个设备是否ping的通 一,subprocess以及常用的封装函数 运行python的时候,我们都是在创建并运行一个进程.像Linux进程那样,一个进程可以fork一个子进程,并让这个子进程exec另外一个程序.在Python中,我们通过标准库中的subprocess包来fork一个子进程,并运行一个外部的程序. subprocess 包中定义有数个创建子进程的函数,这些函数分别以不同的方式创建子进程,所以我们可以根据需要来从中选取一个使用.另外subprocess还提供了

一.标题:XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan 初识     automated XSS testing assistant 二.引言 Google大神告诉我,Watcher  &  x5s 这两插件技术文章非常稀有,<XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan初识> 整篇文章讲的就是初识两工具,并记录安装使用的过程记录!深入还有待完善..... 三.Befor

XSScrapy是一个快速.直接的XSS漏洞检测爬虫,你只需要一个URL,它便可以帮助你发现XSS跨站脚本漏洞. XSScrapy的XSS漏洞攻击测试向量将会覆盖 Http头中的Referer字段 User-Agent字段 Cookie 表单(包括隐藏表单) URL参数 RUL末尾,如 www.example.com/<script>alert(1)</script> 跳转型XSS 因为Scrapy并不是一个浏览器,所以对AJAX无能为力,我将会在未来努力实现这些功能,尽管并不容易

好想在2014结束前再赶出个10篇博文来,~(>_<)~,不写博客真不是一个好兆头,至少说明对学习的欲望和对知识的研究都不是那么积极了,如果说这1天的时间我能赶出几篇精致的博文,你们信不信,哈哈,反正我是信了... python检测服务器是否ping通的2种方法 1.第一种比较挫,就是用ping,python调用shell,这个适用于较少的服务器数量,几百台已经很慢了(当然是说python同步的方法,要是nodejs异步方式还是很快的,但是nodejs CPU计算不行,所以尝试了下只能200台

安全篇:弱密码python检测工具 https://github.com/penoxcn/PyWeakPwdAudit

一.标题:XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan 初识     automated XSS testing assistant 二.引言 Google大神告诉我,Watcher  &  x5s 这两插件技术文章非常稀有,<XSS 自动化检测 Fiddler Watcher & x5s  & ccXSScan初识>整篇文章讲的就是初识两工具,并记录安装使用的过程记录!深入还有待完善..... 三.Before

python检测是否是质数 编写python脚本,使得实现以下功能: 输入一个整数,通过脚本判断出输入的这个数是否是质数,然后输出是否是质数. 脚本如下图所示: Num = input("Please input a integer :") i = 2 while i < Num : if Num % i == 0 : print "{} is not a prime number !".format(Num) break else : i += 1 if i

python检测变量名 变量在编程中的用途非常广,在python中,变量的名称只能以字母或者下划线“_”开头,变量名只能由字母.数字.下划线组成. 编写python,使得其实现以下功能: 1.输入一个变量名: 2.当变量名首位不是字母或者下划线时,自动输出“该变量名不合适!”: 3.当变量名中有除了字母.数字和下划线以外的其他符号时,自动输出“该变量名不合适!”: 4.当变量名使用规范时,输出“该变量名可用”. python的脚本如下: mport string Variable = raw_i

需求:Python检测URL状态,并追加保存200的URL 代码一: #! /usr/bin/env python #coding=utf-8 import sys import requests def getHttpStatusCode(url): try: request = requests.get(url) httpStatusCode = request.status_code return httpStatusCode except requests.exceptions.HTTP

研发过程,把开发过程较好的代码收藏起来,如下的代码内容是关于python检测远程udp端口是否打开的代码,希望对各朋友有较大帮助. import socketimport threadingimport timeimport structimport Queue queue = Queue.Queue() def udp_sender(ip,port): try: ADDR = (ip,port) sock_udp = socket.socket(socket.AF_INET,socket.SO

基于python检测端口是否在使用 - 缘起花渊 - 博客园https://www.cnblogs.com/yqmcu/p/9804002.html def net_is_used(port,ip='127.0.0.1'): s = socket.socket(socket.AF_INET,socket.SOCK_STREAM) try: s.connect((ip,port)) s.shutdown(2) print('%s:%d is used' % (ip,port)) return Tr

使用hashlib模块,可对文件MD5一致性加密验证: #python 检测文件MD5值 #python version 2.6 import hashlib import os,sys #简单的测试一个字符串的MD5值 def GetStrMd5(src): m0=hashlib.md5() m0.update(src) print m0.hexdigest() pass #大文件的MD5值 def GetFileMd5(filename): if not os.path.isfile(fil

转载自FreeBuf.COM XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到. 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行[阅读更多]. 跨站点“Scripter”(又名XSSer)是一个自动化框架,用于检测.利用以及报告基于Web应用程序中的XSS漏洞. 它包含多个尝试绕过某些过滤器的选项,以及各种特殊的代码注入技术. 安装XSSer – XSS XSSer支持多平

import sys import os import _io from collections import namedtuple from PIL import Image class Nude(object): Skin = namedtuple("Skin", "id skin region x y") def __init__(self, path_or_image): # 若 path_or_image 为 Image.Image 类型的实例,直接赋值

某些网站为了实现友好的用户交互,提供了一种自定义的错误页面,而不是显示一个大大的404 ,比如CSDN上的404提示页面如下: 这样虽然提高了用户体验,但是在编写对应POC进行检测的时候如果只根据返回的HTTP头部信息判断,则很可能造成误报,为了能准确检测到404页面, 需要从状态码和页面内容两个方面来进行判断. 从状态码来判断比较简单.可以直接使用requests库发送http请求,得到响应码即可. 从页面内容上进行判断的话,采用的思路是访问web站点上明显不存在的页面,获取页面内容进行保存,

应用场景:用来检测网站可用性,访问失败,则发邮件通知 #!/usr/bin/env python import urllib2,time,smtplib,string,logging from conf import * logging.basicConfig(level=logging.DEBUG, format='%(asctime)s %(filename)s[line:%(lineno)d] %(levelname)s %(message)s', datefmt='%a, %d %b %

首先安装Dlib,Opencv库 Dlib安装链接:http://www.cnblogs.com/as3asddd/p/7237280.html 环境:Mac Sierra 10.12.1 Python 2.7.1 设置特征检测器,dlib有已经训练的好的需要下载,也可以自己根据需要训练 下载链接:http://dlib.net/files/shape_predictor_68_face_landmarks.dat.bz2 下载完之后解压,将路径送到dlib.shape_predictor()里

检测字符串长度的方法:len() 检测字符串是否含有字母的方法:str.isalpha() 检测字符串是否含有数字的方法:str.isnumeric() 检测字符串是否有大写字母:str.upper() 检测字符串是否含有小写字母:str.lower 更多is.xxx的方法,请参考: https://docs.python.org/3/library/sdtypes.html#string - methods 代码案例: def check_numbers_exist(password_str)