xlxlyl

在渗透的过程中，有时候会遇到密码在前端加密了，为我们爆破提高了难度。加密是js脚本 自定义函数加密，burp里面的一些加密函数就满足不了我们的需求。如下所示，密码为 admin123，加密的效果如下： 可以看到加密的函数主要是encode，所以每个密码都由自定 义 函 数 加 …

的情况下执行某种动作的攻击。因为攻击者看不到伪造请求的响应结果，所以CSRF 攻击主要用来执行动作，而非窃取用户数据。当受害者是一个普通用户时，CSRF可 具有管理员权限的用户时CSRF则可能威胁到整个Web系统的安全。 户点击攻击者构造的恶意链接后就“被”执行了相应的操作。 …

的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html 的特殊目的。 在Web漏洞中，XSS是出现最多的漏洞，没有之一。 网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java，VBScript， ActiveX，Flash…

压缩算法和gzip(1)的一样,协议第一版中,压缩级别“level”用CompressionLevel选项控制.压缩技术在modem线路或其他慢速连接上很有用,但是在高速网络上反而可能降低速度.可以在配置文件中对每个主机单独设定这个参数. -n 把stdin重定向到/dev/n…

补充一下。 IP /域名，一旦测试了不该测试的，那就是越界了。 段看上去很厉害，但真正好好利用起来，那就是另外一回事。 是被人社工的话，却是那么的脆弱。 不是那么容易bypass的。 书)里面就有提到了针对app scada工控的渗透，感觉国内的渗透更像是一个分支(中.....…

更不要提分析出解密算法了。。。 络工程这个专业，刚入学时也励志当一名网络安全工程师。 害很厉害，就像虚拟世界的大哥一样想搞谁就搞谁，哈哈。 天坐在电脑前码代码，很死板很无趣。安全的话感觉更动脑子一点，更有技术含量一 点，各种好玩的思路，感觉就像打游戏一样。 入手慢慢学，希望未来…

从初中就对刷钻，免流等破解教程很感兴趣，不过那时一般都是在论坛上看看帖子，跟着教程做一做，不懂得原理。 直到大学，才知道有网络安全这样的实验室，感觉这个方向比单纯敲代码要有意思。选择信安这个方向主要是因为我对渗透很感兴趣，很喜欢，其次是因为国家也在越来越重视网络安全(跟着党走哈…