为什么需要SSL? 明文不安全 明文传输的用户名和密码被侦听到 实验:使用wireshark抓包 Phishing(钓鱼攻击): http://item.taobao.com/ http.//item.taobao/auction.com/ 什么是SSL? 1994.网景公司(Netscape) S ...
分类:
Web程序 时间:
2020-01-27 12:32:16
阅读次数:
124
功能:倾向于玩咯传输数据 支持对网络层,协议,主机,网络端口的过滤 格式: tcpdump [-adeflnNOpqStvx][-c<数据包数目>][-dd][-ddd][-F<表达文件>][-i<网络界面>][-r<数据包文件>][-s<数据包大小>][-tt][-T<数据包类型>][-vv][- ...
分类:
其他好文 时间:
2020-01-26 13:05:36
阅读次数:
85
进入之后可以看到我们需要输入一个计算式来得到答案,burpsuite进行抓包之后发现页面来自于calc.php 我们直接访问calc.php页面 发现源代码泄露 可以看到当我们没有输入num值的时候就会显示源代码,否则对输入的num进行eval命令执行,在命令执行之前有黑名单过滤。 我们需要绕过黑名 ...
分类:
其他好文 时间:
2020-01-24 18:41:02
阅读次数:
170
less-13 首先,输入用户名和密码,发现只有成功和失败两种显示,没有数据回显: 然后我们抓包拿到数据: 我们通过上述观察,已经知道这是典型的盲注,可以采用布尔盲注或者时间盲注。 构造注入语句:uname=a&passwd=a') or 1=1#&submit=Submit 猜解列:uname=a ...
分类:
数据库 时间:
2020-01-22 21:31:02
阅读次数:
139
less-11 11关以后已经和前几关不同。页面由get方式变成了类似form表单的post方式的登陆界面,我们不能直接看到数据,所以要用到burp抓包. 抓包方式前面已经说过,这里直接使用,我们先输入admin看看: 我们通过上面的数据包可以看到最后一行是post的数据,所以可以在hackbar的 ...
分类:
数据库 时间:
2020-01-22 20:20:47
阅读次数:
131
一、 问题现象 1.业务组播出向报文偶尔有延迟; 2.单播出向报文平滑 二、 分析及定位 使用wireshark分析了组播出向报文的抓包,报文无丢包,但是IO 输出流量显示有burst和掉坑现象。 波形和抓包文件分析如下图: 后来在接收侧抓包,并分析日志,接收方没有出现丢包问题,但是有接收码流不足, ...
分类:
编程语言 时间:
2020-01-22 20:20:01
阅读次数:
134
前端JS加密那些事 0x01前端基本编码/加密方式 前端信息枚举时,当通过Burp抓包发现参数经过类似Base64、MD5等方式处理过的,可以直接通过Burp Intruder Payloads PayloadProcessing的设置来进行枚举。这里还有一些其他的功能可以自行拓展(如:增加payl ...
分类:
Web程序 时间:
2020-01-21 20:18:43
阅读次数:
102
一、tcpdump 对于本机中进程的系统行为调用跟踪,strace是一个很好的工具,而在网络问题的调试中,tcpdump应该说是一个必不可少的工具,和大部分linux下优秀工具一样,它的特点就是简单而强大。默认情况下,tcpdump不会抓取本机内部通讯的报文。根据网络协议栈的规定,对于报文,即使是目 ...
分类:
其他好文 时间:
2020-01-21 19:58:52
阅读次数:
116
1、Jmeter上传文件 首先确认你的文件名称,参数名称,MIME类型,这些可以从接口文档里面获取,或者直接在页面抓包然后从请求头里面查看。 我这里是通过F12获取的,看个人喜好。 还有人说需要设置Advanced里面的配置,客户端实现选择java类型,切记(我这里没有配置是可以的,如果所有设置完了 ...
分类:
Web程序 时间:
2020-01-21 14:46:00
阅读次数:
102
mitmproxy是一个支持HTTP和HTTPS的抓包程序,有类似Fiddler、Charles的功能,只不过它是一个控制台的形式操作。 mitmproxy还有两个关联组件。 一个是mitmdump,它是mitmproxy的命令行接口,利用它可对接Python脚本,用Python实现监听后的处理。 ...
分类:
移动开发 时间:
2020-01-19 21:56:16
阅读次数:
164
