今天所做的努力
都是在为明天积蓄力量

云安全

hidden属性的input.MD-流觞博客

hidden属性的input.MD

琴子小白阅读(114)评论(0)赞(0)

今天看到一个XSS漏洞,插入点在一个有hidden属性的input 标签,大致情况如下: 正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于...

XXS绕过htmlspecialchars-流觞博客

XXS绕过htmlspecialchars

琴子小白阅读(117)评论(0)赞(0)

xss攻击很多场景下htmlspecialchars过滤未必能奏效。 场景1: 源码如下: <?php $name = $_GET["name"]; $name = htmlspecialchars($name); ?> <...

python常见模块详解(1)

琴子小白阅读(113)评论(0)赞(0)

os模块 import os os.makedirs('dirname1/dirname2') #可生成多层递归目录 os.removedirs('dirname1') #若目录为空,则删除,并递归到上一级目录,如若也为空,则删除,依此类推...

利用.htaccess添加X-frame-options响应头

琴子小白阅读(137)评论(0)赞(0)

360网站安全检测结果提示[轻微]X-Frame-Options头未设置,官方的解决方法如下: 修改web服务器配置,添加X-frame-options响应头。赋值有如下三种: (1)DENY:不能被嵌入到任何iframe或frame中。 ...

python执行系统命令-OS模块-流觞博客

python执行系统命令-OS模块

琴子小白阅读(150)评论(0)赞(1)

1、os.system(cmd) 在子终端运行系统命令,不能获取命令执行后的返回信息以及执行返回的状态 import os os.system('date') 2、os.popen(cmd) 不仅执行命令而且返回执行后的信息对象(常用于需要...

CSRF攻击与Yii2

琴子小白阅读(158)评论(0)赞(0)

CSRF攻击: 跨站请求伪造 攻击原理: 攻击者引导受害者访问其指定的URL, 以受害者的身份名义(cookie)发送恶意请求, 执行某些能改变数据的操作. 攻击场景举例: 受害者登录了a.com, 浏览器保存a.com对应的cookie,...

Python装饰器笔记

琴子小白阅读(169)评论(0)赞(1)

装饰器(Decorator)就是用来装饰对象 ,这个对象可以是函数,也可以是类,装饰器的语法是将@装饰器名,放在对应的被装饰的对象上面 函数名、函数体、返回值,函数的内存地址、函数名加括号、函数名被当作参数、函数名加括号被当作参数、返回函数...

AWVS12 介绍和安装详解-流觞博客

AWVS12 介绍和安装详解

琴子小白阅读(307)评论(0)赞(5)

一、AWVS介绍 Acunetix Web Vulnerability Scanner,简称:AWVS,是一个自动化的Web安全测试工具,它可以扫描Web站点和Web应用。AWVS可以快速扫描SQL注入,XSS攻击,目录遍历,文件入侵,PH...

反序列化使用(django rest framework)

琴子小白阅读(179)评论(0)赞(4)

验证 使用序列化器进行反序列化时,需要对数据进行验证后,才能获取验证成功的数据或保存成模型类对象。 在获取反序列化的数据前,必须调用is_valid()方法进行验证,验证成功返回True,否则返回False。 验证失败,可以通过序列化器对象...

今天所做的努力都是在为明天积蓄力量

联系我们留言建议