0x00 背景本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss...
点击劫持漏洞解决( Clickjacking: X-Frame-Options header missing)
X-Frame-Options HTTP 响应头, 可以指示浏览器是否应该加载一个 iframe 中的页面。 网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点...
DDLinux后IPV6丢失/失效的处理教程
我们在使用服务商提供的VPS时,为了防止商家系统安装有自己的服务,或是因为无法安装特定软件等原因,都会想到去 DD 个纯净系统。但是DD的负面作用,会造成商家提供的IPV6“消失”,检测得到,但却无法...
使用ssh端口转发做socks代理服务器
使用ssh端口转发做socks代理服务器 1.1. ssh自动输入密码登录服务器 1、采用“密钥验证”方法 生成密匙对,此处用的是rsa的密钥: # ssh-keygen -t rsa #一路回车在...
系统文档
PHPstudy本地测试环境安装
PHPstudy支持CentOS、Ubuntu、Debian、Fedora、deepin,Web端管理,QQ群及论坛技术支持一键创建网站、FTP、数据库、SSL;安全管理,计划任务,文件管理,PHP多...
网络安全
如何使用Wappalyzer API进行Web应用指纹识别
Web应用指纹识别,是web渗透信息收集最关键的一步,这方面开源的工具也非常多,像BlindElephant,whatweb 以及在非安全圈都很火的wappalyzer。本文主要描述如何使用...
PHP代码运行异常通知
昨天线上代码出现了一些小问题,被运营代理那边发现问题,还好报错的代码行数在关键的业务代码下边,只是造成了一点小影响不妨碍整体业务(万幸)。 经过这次事情我感觉得写个用来告警的代码,包裹一下对外的接口部...
神兵利刃
国产工具:渗透测试助手PKAV HTTP Fuzzer发布
渗透测试的各位高手们,是不是还在为找不到一个好帮手而郁闷呢?别郁闷了,我来帮你!PKAV HTTP Fuzzer绝对是一你一用就会爱上的好帮手! 但是我们开发这个工具是有使用条件的哦,条件如下: ~$...
GO模拟采集微信文章
package main import ( "fmt" "io/ioutil" "net/http" "regexp" "strings" ) func main() { // 模拟登录获取cooki...
神兵利刃
子域名爆破工具subDomainsBrute|
关于查找和扫描二级域名对每一个搞渗透的小伙伴来说都是非常重要的一个环节。本文就是来讲一个通过小字典地柜的方式去发现三级、四级、五级等一些不容易被探测到的域名的小工具。 工具地址: https://gi...
