浅谈动态爬虫与去重

随着web 2.0的发展,页面中的AJAX也越来越多。由于传统爬虫依靠静态分析,不能准确的抓取到页面中的AJAX请求以及动态更新的内容,已经越来越不能满足需求。基于动态解析的Web 2.0爬虫应运而生,通过浏览器内核解析页面源码,模拟用户操作,能有效解决上述问题。本文将详细分析利用PhantomJS + Python 编写爬虫并进行去重的思路。

Read More

XSS Tricks - 从 Self-XSS 到登录你的账户

随着web的不断发展,前端越来越复杂, 交互也越来越多。在前后端交互的过程中,往往会需要在页面/API中输出许多冗余的东西。配合一些看似鸡肋的漏洞,就可以控制你的账户。

Read More

XSS dynamic detection using PhantomJs

XSS 典型的浏览器端漏洞,由于用户的输入未经转义直接输出到页面中,恶意代码在用户的浏览器中被解析,从而造成危害。传统的反射型 XSS 可以通过判断页面源码是否含有特定字符串来检测。但由于 Web 2.0 的快速发展交互越来越复杂,DOM-XSS 也层出不穷,导致传统的检测方案的漏报率很高。本文主要介绍了如何利用 PhantomJS + Python 完成动态检测。

Read More

绕过XSS过滤器:利用错误编写的PHP代码

翻译自外文文献, 介绍利用错误编写的PHP代码过XSS过滤器的方法。

Read More

危险的is_numeric:PHPYun二次注入漏洞分析

分析了一个PHPYun的二次注入漏洞, 利用is_numeric和MySQL的特性绕过SQL注入的防御。

Read More

WVS_Patcher

最近为了减轻工作量,写了一个基于WVS的批量扫描工具分享出来,或许能成为你的小神器。

Read More

Python通用弱口令扫描器

如何设计一款基于Python+协程+多进程的通用弱密码扫描器,以及协程和多进程的应用。

Read More

XSS前端防火墙

跟随大神的脚步,实现一个靠谱的XSS防火墙。

Read More

HTTP - PUT 上传文件/Shell

python练手,编写脚本自动化利用HTTP PUT漏洞。

Read More

手工SQL注入详解

对SQL注入有一定了解,能使用一些工具(SQLMAP、pangolin等)进行自动化SQL注入测试,又想了解工具原理和SQL注入原理的同学看过来~

Read More

ThinkPHP框架安全实现分析

ThinkPHP框架是国内比较流行的PHP框架之一, 本文主要分析该框架底层安全功能的设计及曾经出过的几个漏洞。

Read More

Linux iptables

linux iptables扫盲, 内容来自于鸟哥的Linux私房菜

Read More

XSS攻防中的复合编码问题

XSS中一定会遇到的编码问题。

Read More