有时候总是会不小心把存有账号密码之类的敏感文件push到github上。如果这次commit只有这一个文件,并且发现的及时,那还是很好解决的,删除commit然后强推就可以了。 但是不幸的是,总有那么些时候发现的比较晚,并且那次commit中含有其他的文件。 方法1: 试试...

继续阅读

一直听说sqlmapapi很好用,最近决定写个sql注入的探测器之类的东西,可以从web界面把URL喂给sqlmap,然后坐等结果就行了。后期可以加上被动式扫描的部分,用代理(类似burp的方法,好像有burp的sqlmap插件)或浏览器插件的方式读URL,然后自动喂给后端...

继续阅读

DES弱密钥

in 安全研究,安全开发 read (3401)

DES是一种块密码,属于对称密码算法。密钥长度为56bit,如果算上校验位可以认为是64bit,就是8字节。 在DES加密中,有一些密钥属于“弱密钥”和“部分弱密钥”,严禁在加密的过程中使用。 DES弱密钥 在DES的计算中,56bit的密钥最终会被处理为16个轮密钥,每一...

继续阅读

最近看了看Flask,可是网上的教程全是用SQLite的,自己连接MySQL的时候,把connect URL修改成MySQL的样子,总是不成功。踩了一天的坑之后终于解决了。 MySQL-Python 连接MySQL的话必须要装这个库,通常情况下使用pip install就可...

继续阅读

浅谈CSP

in 安全研究,Web read (2357)

0x00 什么是CSP CSP是内容安全策略,Conetent Security Policy,主要是为了减缓XSS、clickjacking和其他一些代码注入的攻击,目的是尽量使可执行的内容从可信的目标传递过来。说到CSP,就不得不提到另一种web安全模型:同源策略。 0...

继续阅读

XXE二三事

in 安全研究,Web,PHP read (2747)

什么是XXE XXE是XML外部实体注入,详细介绍可以参考OWASP的介绍,https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing 为何一直实验不成功 之前我一直在自己的ubuntu14.04...

继续阅读

CI提供了钩子这种特性,可以在不修改核心文件的情况下用来修改框架内部执行流程。 全局来看,是否开启钩子可以在APPPATH/config/config.php中进行修改,而hooks的配置则在APPPATH/config/hooks.php中进行定义,具体如何实现可以参考官...

继续阅读

lightless

Stay Hungry. Stay Foolish.