題目特徵明顯
sql注入(登入框,變化的url引數)
f12原始碼分析(**注釋提示)
隱藏路徑(了解伺服器的資訊隱藏的配置檔案,自己進行推理)
登入後台型別(偽造本地位址,爆破,萬能密碼,cookie欺騙)
看原始碼可以右鍵->【檢視網頁源**】,也可以用火狐和谷歌瀏覽器的按f12鍵,按f12鍵可以修改html源**方便構造一些值提交,但如果不需要的話直接右鍵檢視源**更直觀,看網頁裡面的注釋之類的都很方便。
抓包這幾天接觸到的抓包一般是用burpsuite,如果要多次嘗試可以右鍵【send to repeater】,如果要對某個字段爆破可以右鍵【send to intruder】,還有乙個【send to repeater】這是我比較常用的幾種burpsuite的功能。
谷歌瀏覽器:f12-network-勾選【preserve log】,也可以方便檢視請求包和響應包的資料(包頭欄位和網頁資料等)。
關注的幾個地方
有時候開啟網頁後感覺沒有可疑的地方,首先檢視下源**,看有沒有注釋之類的提示資訊,之後重新開啟網頁,抓抓包看下請求包響應包的包頭資料有沒有可疑的地方。
include漏洞
遇到php**中有include($file)的,一般和 php:
php:
//filter/read=convert.base64-encoding/resource=檔名(如index.php)
需要多次動態除錯來嘗試,以及要關注裡面出現的函式,出現在關鍵位置的函式一般都是有用的,搜尋一下有沒有相關的漏洞。
還有get引數構造的時候如果傳入的是陣列要記得加,?txt=[1,2,3],如果填?txt=[1,2,3]似乎不會被當做array處理。
6.編碼
js的幾種編碼(如js****)都可以在瀏覽器f12之後的控制台執行,這樣可以省去找解密**的時間。
基礎排序演算法總覽
比較相鄰的兩元素,不滿足大小關係則互換,一次遍歷能將乙個元素放到正確的位置上。完成排序需要n次遍歷,則事件複雜度o n 2 可以不使用額外的資料結構,則空間複雜度為o 1 可以相等時不交換,則是穩定的排序演算法。python3 大致如下 from typing import list defbubb...
基礎排序演算法總覽
比較相鄰的兩元素,不滿足大小關係則互換,一次遍歷能將乙個元素放到正確的位置上。完成排序需要n次遍歷,則事件複雜度o n 2 可以不使用額外的資料結構,則空間複雜度為o 1 可以相等時不交換,則是穩定的排序演算法。python3 大致如下 from typing import list def bub...
從0開始搭建介面 web服務 總覽
起因 想學習效能測試,公司伺服器無法放監控,只能自己從0開始了 步驟 介面 python flask redis gitee 效能測試 python locust 自己寫了個通過自動化的模式走效能測試,方便後期的其他的case編寫 如同測試平台的功能一樣 服務 aly lnmp redis 三 埠 ...