set和list是Python常用的结构类型,这里不再多述。本文主要是总结了一些它们配合起来的一些妙用。
(1)去重
比如一个序列:
>>>line = ['a','b','a']
为了去除重复的'a',可以进行如下操作:
>>> list(set(line))
['a', 'b']
(2)提取两个序列中出现过的非重复元素
比如两个序列:
>>> line1=['a','b','a']
>>> line2=['a','c']
为了得到这两个序列中出现的不同元素...
NAMP信息收集7个脚本利用与命令
nmao用于信息收集的7个常用脚本
1、dns-brute.nse
尝试通过暴力猜测常见的子域来枚举DNS主机名。 使用dns-brute.srv参数,dns-brute也会尝试枚举常见的DNS SRV记录。
利用命令: namp --script dns-brute nmap.org
2、traceroute-geolocation.nse
列出traceroute中每一跳的地理位置,并可选择将结果保存到KML文件,可在Google地球和地图上绘制。
从而了解路由跳转节点
具体利用命令: nmap --traceroute...
XML实体注入漏洞攻与防
目录
XML基础
XML实体注入漏洞的几种姿势
防御XML实体注入漏洞
XML基础
XML是一种用于标记电子文件使其具有结构性的标记语言,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
XML技术基础我在这里将不在详细解读,有兴趣的小伙伴可以通过如下几个链接去学习...
T00LS帖子正文XSS
T00LS在前段时间开启了markdown支持,这个漏洞也正是markdown的问题导致。
Markdown是一种可以使用普通文本编辑器编写的标记语言,通过简单的标记语法,它可以使普通文本内容具有一定的格式。
Markdown本身是一种标记语言,在网页上的应用也很简单,比如当我在markdown中输入**加粗**,那么经过转换之后,这个短句将会变成<strong>加粗</strong>。其实也是一系列的html转换,由此就会出现很多X...
密码保护:Weblogic漏洞CVE-2017-10271的利用方法
WebLogic WLS 组件漏洞(CVE-2017-10271)自2017年12月22日爆出后,至今也有20多天了,相信有责任心的企业和网管已经将服务器的漏洞修复,而至今仍未修复漏洞的服务器,为我们进行漏洞测试提供了很好的靶子。目前针对该漏洞有两种比较成熟的利用方法,一种是利用写文件的方式GetShell,一种是利用命令执行的方式下载可执行文件。本文将结合作者的实际操作,分别介绍这两种利用方法。
一、漏洞简要回顾
CVE-...
DOMXSS典型场景分析与修复指南
0x00 背景
DOM-Based XSS是一种基于文档对象模型(Document Object Model,DOM)的Web前端漏洞,简单来说就是JavaScript代码缺陷造成的漏洞。与普通XSS不同的是,DOM XSS是在浏览器的解析中改变页面DOM树,且恶意代码并不在返回页面源码中回显,这使我们无法通过特征匹配来检测DOM XSS,给自动化漏洞检测带来了挑战。在2012年,腾讯安全平台部就研发并使用了基于QTWebkit引擎的检测方案。
然而,由于Web前...
XXE漏洞攻防
一、XML基础知识
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。
内部声明DTD
<!DOCTYPE 根元素 [元素声明]>
引用外部DT...
如何在Android Nougat中正确配置Burp Suite?
背景
此前我已经在Genymotion VM或我的旧版Nexus Tablet,做过不少Android相关的测试。一直以来我都遵循Portswigger的说明文档,本地运行Burp Suite,并安装User Cert,配置一个WiFi代理。
然而,当我对这个特定app(需要API level 24 (Android 7.0 – “Nougat”))测试时,突然发现Burp无法正常工作。我回顾了我的配置步骤,并没有发现遗漏的地方,但在Burp中只看到“connection reset(连接重置)”错误:
...
浅谈动态爬虫与去重(续)
作者:Fr1day@0keeTeam
0x00 前言
在 浅谈动态爬虫与去重 中,分享了动态爬虫中触发事件、监控节点变动、URL去重等的实现方法。在接近一年的线上运行与迭代更新过程中,处理了很多bug,也遇到一些有趣的漏抓案例。
本文将详细分析几个有代表性的案例,希望能对各位的coding大业有所帮助。
0x01 一个都不能少
上图为被抓取页面的源码。两个 <a> 标签点击后会分别跳转到 /test4.php 和 /test5....
浅谈动态爬虫与去重
因为公司需要开发web扫描器,但是经常测试发现现有扫描器功能较弱,对于AJAX、JS中的链接无法识别,于是就有了这篇转载,准备根据这篇文章以及此文章的续来参考,对于这块进行加强
0x01 简介
随着Web 2.0的发展,页面中的AJAX也越来越多。由于传统爬虫依靠静态分析,不能准确的抓取到页面中的AJAX请求以及动态更新的内容,已经越来越不能满足需求。基于动态解析的Web 2.0爬虫应运而生,通过浏览器内核解...