....-/.----/-..../...--/--.../...--/--.../....-/---../.----/----./....-/----./..---/----./...--/----./.----
在安全测试中,经常会遇到需要进行暴力破解账号密码的场景,用于测试系统是否存在弱密码,或者进行用户名枚举等。对于此种需求,我们主要需要的是操作简单、功能强大、测试速度快、测试结果准确,目前已经有许多工具可以支持这种功能,最常用的如BurpSuite、Hydra等。但在实际的测试过程中经常也会遇到各种特殊的场景,现有的工具不能很好提供很好的支持,此时多数使用自己编写的脚本。目前主流的编程语言均支持发送HTTP的功能,但发包速度各不相同,而对于暴力破解而言,发包速度无疑是重中之重,另外各种语言常见的WEB框架响应时间也不相同。为了详细了解不同语言、框架、工具的发包速度和响应速度,故进行如下场景测试。
Java的Random类是最常用的一种随机数生成类,可以满足绝大部分场景的使用,但其并不能满足安全性方面的需求。
本文根据第三届强网杯一道密码学题目对其安全性进行分析。如果可以得到随机数生成器的第一个到第二个随机数,那么可以很容易的预测到此后的随机数。
下载地址,文件大小:576M
由于该网站引用的jquery需要翻墙,所以看不到下载链接,可以在浏览器f12开发者模式中调试后看到,下载过程不需要翻墙。
下载之后使用Vmware或者VirtualBox打开即可。
靶机是Ubuntu系统,攻击机使用Kali,两者均为虚拟机且在同一网段下,本机Kali的IP为10.0.2.4。
在进行大批量网站扫描时,可通过使用Appscan自带的命令行扫描工具进行快速扫描。在Appscan的安装目录下的AppScanCMD.exe为支持此功能的文件。
最近几年出现了各种类型的验证码,比如滑动验证码、图片识别验证码、图像定位型验证码等等,不过大多数网站依然采用传统的数字字母型验证码,验证码对于防范暴力攻击、爬虫等有着良好的作用,如果能对验证码进行识别,那么在渗透测试过程中就可以进行暴力攻击了。
导读:很多Web应用都提供通过用户指定的地址读取服务器本地或远程文件/数据的功能,如获取图片、下载文件、读取数据等,如果此功能被恶意使用,则可以利用服务器为跳板达成攻击目的,此类漏洞称为服务器端请求伪造。
Animate.css 是一个来自国外的 CSS3 动画库,它预设了抖动(shake)、闪烁(flash)、弹跳(bounce)、翻转(flip)、旋转(rotateIn/rotateOut)、淡入淡出(fadeIn/fadeOut)等多达 60 多种动画效果,几乎包含了所有常见的动画效果。
Windows上使用railsinstaller安装ruby和rails后,执行rails -v提示系统找不到指定的路径,网上搜索的答案也没有解释原因,故自行研究了一下原因和解决办法。
Ruby的gem默认不会使用系统的代理,使用代理每次都需要添加参数--http-proxy,感觉很麻烦,搜索了一下也没找到什么好的办法。后来找到了gem的代码,是使用ruby写的,简单修改一下就可以永久设置好gem的代理,不用每次都加上代理的参数了。
今天在提交git项目时遇到提示:fatal: unable to get credential storage lock: File exists。
但是似乎提交依然成功了,不知道这个报错有什么影响。
在互联网上爬取数据的过程中难免出现ip被封或者服务器返回403等等,这可能是你被网站检测为爬虫而采取的反爬措施,本文主要总结了一些常见的情况及规避的措施。
Python中的装饰器经常用于有切面需求的场景,较为经典的有插入日志、性能测试、事务处理等。本文从闭包的概念引入,并以实例形式对装饰器及其应用进行了讲解。
我们理解您需要更便捷更高效的工具记录思想,整理笔记、知识,并将其中承载的价值传播给他人,Cmd Markdown 是我们给出的答案 —— 我们为记录思想和分享知识提供更专业的工具。