PRELOADER

主页

5/10/2019 —— 

破解实验室WiFi密码1 准备工作工具:Vmware虚拟机、kali镜像文件、无线网卡一个 PS:无线网卡一定得是外置的,虽然电脑本身带有内置网卡,但并无监听周围热点功能;我这里使用的是USB网卡RT3070 暴力破解思路:kali系统接入无线网卡,并通过里面的aircrack程序开始监听周围热点,选择一个WiFi热点, 用aircrack去攻击一台连接了该WiFi热点的设备,使其掉线,之后这台电

展开全文

机器学习实战——梯度下降求解逻辑回归(理论基础)逻辑回归是回归还是分类?逻辑回归是分类,不要被名字所欺骗。因本篇文章仅讨论二分类问题,故我们将逻辑回归最终得到的预测值看作两个,即是或否(0或1)。从线性回归开始为什么从线性回归开始呢?因为二分类问题解的得出与线性回归有很大关系,逻辑回归之所以叫回归因为其与线性回归有着千丝万缕的关系。有这样一个例子:我们用numpy包生成一百个随机的x值,并且设定y

展开全文

跨站点WebSocket劫持如何导致完整的会话妥协WebSockets是一种HTML5功能,可通过单个TCP连接提供双向通信通道。这样可以通过在浏览器和服务器之间创建持久连接来构建实时应用程序。 Websockets最常见的应用是向Web应用程序添加聊天功能。下面这张图片为websockets工作原理图: (参考:http://www.websocket.org) 最近,我们对具有大量菜单选项和

展开全文

溢出三部曲溢出不仅仅是Websec中的日常术语。今天我要分享三个有趣的案例,都是关于Twitter的漏洞。 HTTP响应与head溢出分离此问题清楚地说明了HTTP Response Splitting与CRLF注入的不同之处。通常99个HTTP响应拆分漏洞是由CRLF注入引起的,而这个漏洞则滥用了一个不涉及注入CRLF的不同缺陷。 他们的补丁——在同一页面上的输入仍然缺乏适当的验证,这导致了这个

展开全文

服务器端模板注入 您是否注意到某些电子邮件(包含大量广告的电子邮件)是如何发送给你的账号呢?这是工作中的服务器端模板引擎。 最常用的一些服务器端模板引擎是Smarty,Mako,Twig和Jinja2。Web应用程序通常使用这些模板引擎在网页和电子邮件上显示动态数据。 例如:wiki,博客,内容管理系统和营销应用程序等。此功能允许将用户输入嵌入到Web应用程序中,如果未正确清理,可能会使其容易受到

展开全文

3种XXE不同攻击方式原文链接:https://www.we45.com/blog/3-ways-an-xxe-vulnerability-could-hit-you-hard Web/移动应用程序,Word处理器,Web服务和内容管理平台使用可扩展标记语言(XML)格式在人类可读和机器可读格式的系统之间存储 和传输数据。如果未正确验证XML数据的输入,则可能使您容易受到许多不同类型的攻击,例如

展开全文

谷歌论坛的越权漏洞原文链接:https://www.komodosec.com/post/google-groups-authorization-bypass 最近,我一直在测试谷歌的服务,到处寻找安全漏洞,最终找到了一些非常有意思的漏洞。在整个挖掘漏洞过程中,我的心就像坐过山车一样, 既有发现漏洞的高兴,也有漏洞被拒绝时的失落。而在这篇文章中,我将介绍一个简单但有趣的谷歌论坛的授权绕过漏洞(这让

展开全文

渗透测试神器——nmap本篇作为渗透神器系列第一篇文章,将介绍一款经典的端口扫描工具–nmap。目前市面上成熟的端口扫描器有很多, 比如massscan(全网扫描器),zenmap(nmap的GUI版)等,但我个人还是钟爱nmap,原因很简单,因为它很强大,并且支持扩展。 Nmap最新几个版本中,加入了nmap script Engine(NSE)功能,支持扩展脚本,即可以在nmap中加载自定义的

展开全文