OAuth2.0 笔记_2

Posted on 2018-03-12

Symbols count in article: 553 | Reading time ≈ 0:01

0x00 前言在上一遍学习笔记中整理了授权码模式的交换流程和csrf攻击的知识，这次继续总结OAuth其他攻击面 0x01 “redirect uri”根据OAuth的认证流程,用户授权凭证会由服务器转发到redirect_uri对应的地址,如果攻击者伪造redirect_uri为自己的地址,然后诱 ...

经典sqlmap命令

Posted on 2018-03-09

Symbols count in article: 649 | Reading time ≈ 0:01

0x01 查看当前数据库，得到数据库名字sqlmap.py -u “存在注入url” –current-db python sqlmap.py -u “http://127.0.0.1:65412/?id=2“ –current-db 0x02 查看tables,得到指定数据库的表名字python ...

数字证书的理解

Posted on 2018-03-07

Symbols count in article: 3.4k | Reading time ≈ 0:03

0x00 前言数字证书是公钥密码学的典型应用，是信息安全的基础，今日好好复习一下 0x01 简单应用原理最重要的一点，数字证书是保障公钥的可靠性以下流程参考阮一峰老师的经典流程：假设A给B写一份信。那么这封将包含如下三部分内容： 1.信本身的内容（直接可以看到，未加密） 2.A的数字签名（是 ...

Python 常用套路总结_1

Posted on 2018-03-02

Symbols count in article: 5.1k | Reading time ≈ 0:05

0x00 前言跟着“菜鸟学Python”这个我最喜欢的公众号文章做点练习和巩固基本套路 0x01 字符串(string)的使用主要复习了字符串分割，字符串列表按长度排序的方法 text1='A dict that contains arbitrary metadata for this requ ...

Scrapy使用简介_2

Posted on 2018-03-02

Symbols count in article: 4.4k | Reading time ≈ 0:04

0x00 前言继续介绍Scrapy的其他用法，丰富一下各种姿势 0x01 Scrapy里面的request对象request对象是在Scrapy编写中经常要用到的，你要发送一个请求给调度器爬娶，就必须构造request对象，这个对象里面有各种属性可以使用，例如设置request的header，coo ...

SSL握手过程

Posted on 2018-03-01

Symbols count in article: 639 | Reading time ≈ 0:01

记录一下SSL的握手过程，里面涉及到了很多基础概念，例如密码学，证书，PKI等详细叙述： 1、浏览器将自己支持的加密规则(也就是 CipherSuite )发给服务器 2、服务器端收到请求，然后从客户支持的 CipherSuite 中选出一个应答,并发送给客户端公钥证书和选用的 HASH 算法 3 ...

Scrapy使用简介_1

Posted on 2018-02-27

Symbols count in article: 2.7k | Reading time ≈ 0:03

0x00 前言上一篇笔记记录了学习Python爬虫的简单思路，然后就要对Python爬虫框架进行基本使用了，玩玩更健康 0x01 Scrapy基本介绍基本数据流图解：基本数据流程： Spiders发送第一个URL给引擎引擎从Spider中获取到第一个要爬取的URL后，在调度器(Sch ...

Python爬虫小总结

Posted on 2018-02-27

Symbols count in article: 2k | Reading time ≈ 0:02

0x00 前言最近玩了一下Python的爬虫，感觉这个东西对Python初学者还是挺友好的，适合入门Python 0x01 简单编程套路 requests 库发送请求 Beautifulsoap,Xpath,Pyquiry,正则，等解释库提取数据储存数据到文件或者数据库下面通过一个简单的对猫眼 ...

OAuth 2.0 笔记_1

Posted on 2018-02-13

Symbols count in article: 3.1k | Reading time ≈ 0:03

0x00 前言最近OAuth又出了一个漏洞，根据漏洞介绍这个漏洞不在OAuth协议，而在用户的部署上，等详细分析吧，漏洞链接如下，借此机会复习一下OAuth2.0 http://www.cnvd.org.cn/flaw/show/CNVD-2018-01622 0x01 OAuth 2.0 流程详细 ...

Same-Origin Protection (SOP)

Posted on 2018-02-09

Symbols count in article: 1.2k | Reading time ≈ 0:01

0x00 什么是同源策略(SOP)在Web安全中，SOP是一个非常重要安全策略，必须要弄懂才能对很多攻击有更加清晰的理解，那什么是同源策略呢？下面是我本人的理解：同源策略是一个浏览器中内建的安全策略，它确保不同源的网站不能互相作用或者互相交换。不同源指的是协议(https,http,ftp…) ...