0x0:概述 作者:暗月 博客:www.moonsec.com 关于这类注入点,传统的web漏洞扫描器,基本上是针对GET/POST注入, 对于这类注入的检测就变得有心无力了。 0x01:发现 0x01.1:常见http可能被污染的参数有这些 User-agent 浏览器版本 (少) Referer ...
分类:
Web程序 时间:
2017-02-16 22:38:46
阅读次数:
581
Referer表示超链接源的URL!你想看到实验效果,要从a-->(能过<a href="b.jsp")b页面,然后在B里可以取得Refere参数! String url = request.getHeader("REFERER");url取到的值是此次请求的前一次请求的url地址但是此次请求必须通 ...
分类:
其他好文 时间:
2017-02-13 13:51:57
阅读次数:
166
前言 超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准 HTTP是一个基于TCP/IP通信协议来传输数据(HTML文件、图片文件、查询结果) HTTP协议工作于客户端-服务端架构为上。浏览器作为 ...
分类:
Web程序 时间:
2017-02-11 23:45:17
阅读次数:
347
http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sqlmap这么一个url的时候,它会: 1、判断可注入的参数 2、判断可以用那种SQL注入技术来注入 3、识别出哪种数据库 4、根据用户选择,读取哪些数据 一、sqlmap支持五种不同的注 ...
分类:
数据库 时间:
2017-02-06 19:24:01
阅读次数:
348
写一个shell命令,统计apache日志文件(access_log)中某一天中每个URL的访问次数,并按照次数由小到大的顺序排序输出:#cat/application/nginx/logs/20170202_access_www.log|awk‘{print$7}‘|sort|uniq-c|sort-nawk‘{print$7}‘匹配到url记录即日志文件格式的($http_referer)..
分类:
其他好文 时间:
2017-02-06 11:21:33
阅读次数:
600
ngx_http_referer_module模块允许拦截“Referer”请求头中含有非法值的请求,阻止它们访问站点。需要注意的是伪造一个有效的“Referer”请求头是相当容易的,因此这个模块的预期目的不在于彻底地阻止这些非法请求,而是为了阻止由正常浏览器发出的大规模此类请求。还有一点需要..
分类:
Web程序 时间:
2017-01-22 21:31:31
阅读次数:
281
其实写这篇文章,我是很忐忑的,因为爬取的内容就是博客园的,万一哪个顽皮的小伙伴拿去干坏事,我岂不成共犯了? 好了,进入主题。 首先,爬虫需要用到的模块有: express ejs superagent (nodejs里一个非常方便的客户端请求代理模块) cheerio (nodejs版的jQuery ...
分类:
Web程序 时间:
2017-01-19 12:21:54
阅读次数:
339
漏洞作者: 猪猪侠 漏洞详情 披露状态: 2015-01-13: 细节已通知厂商并且等待厂商处理中2015-01-14: 厂商已经确认,细节仅向厂商公开2015-01-24: 细节向核心白帽子及相关领域专家公开2015-02-03: 细节向普通白帽子公开2015-02-13: 细节向实习白帽子公开2 ...
分类:
数据库 时间:
2017-01-11 07:55:20
阅读次数:
233
Apache和PHP的版本分别为: httpd-2.4.9-win64-VC11.zip php-5.6.9-Win32-VC11-x64.zip 下载地址: php-5.6.9-Win32-VC11-x64 http://windows.php.net/downloads/releases/php ...
分类:
Web程序 时间:
2017-01-05 21:26:37
阅读次数:
328
log_format logstash "remote_addr | $time_local | $request | $status | $body_bytes_sent | " "$request_body | $content_length | $http_referer | $http_us ...
分类:
其他好文 时间:
2017-01-05 13:26:57
阅读次数:
252
