【工具分享】分享一个jQuery多版本XSS漏洞检测工具

0x00 前言

最近在搞一个 jQuery v2.1.4 DOM-XSS 漏洞的复现,在网上找了很多Payload都不能用,大多数Payload都只适用于 jQuery v1.x 版本的。

后来看到有个文章说需要Safari浏览器,于是又废了半天劲装了个黑苹果(当时不知道原来Safari浏览器还有Windows版),用Safari浏览器一番折腾依旧没有复现,直到后来在GitHub上找到了这个检测工具,分享出来,避免踩坑。

阅读全文
【经验总结】解决 BurpSuite Pro v2020.1 版本中文乱码问题

0x00 前言

之前在我的公众号分享了 BurpSuite Pro v2020.1 版本,但是在使用过程中发现总是会有中文乱码的情况出现,后来使用 Lucida 字体,乱码的情况得到了缓解,但是有些网页依旧会出现乱码的情况,直到后来才意识到问题其实不在于字体的选择。

阅读全文
【工具分享】BurpSuite Pro v2020.1 无后门专业破解版

前言

工欲善其身,必先利其器,吃饭的家伙终于更新了,这次改动还蛮大的,尤其是加入了黑暗模式。

至于工具的使用及破解方法相信你既然能看到这篇文章,那就不用我过多赘述了 [手动狗头]。

阅读全文
【摘要】漏洞组合拳之XSS+CSRF记录

前几天,我在FreeBuf发布了一篇文章《漏洞组合拳之XSS+CSRF记录》,因为版权原因,无法在​这里发布。

文章里介绍了两种常见的组合拳方法,感兴趣的可以点击下方链接进行查看。

文章链接:https://www.freebuf.com/vuls/225096.html

阅读全文
【经验总结】Python3 Requests 模块请求内容包含中文报错的解决办法

0x00 前言

最近在写一个爬虫代码,里面需要使用 get 传参中文,但是如果直接使用中文而不对其编码的话,程序将会报错。

1
UnicodeEncodeError: 'latin-1' codec can't encode characters in position 38-39: ordinal not in range(256)
阅读全文
【经验总结】SQL注入Bypass安全狗360主机卫士

0x00 前言

这类的文章已经是比较多了,本文也主要是作为学习笔记来记录,主要是记录一下我在学习 SQL 注入 Bypass 的过程,同时前人的不少绕过方法已经失效了,所以这里也是记录一下最新规则的一些绕过方法。

0x01 环境搭建

测试环境:Win7 + Apache + MySQL 5.7.26 + PHP 5.5.45

阅读全文
【Python Scrapy 爬虫框架】 6、继续爬虫、终止和重启任务

0x00 前言

有时候我们不想只爬一个页面的,比如之前我只爬了主页,但是现在想把其他页面的也爬下来,这就是本文的任务。

0x01 修改代码

在之前的基础上,修改 teamssix_blog_spider.py 文件,首先添加 start_urls

1
2
3
4
5
6
7
start_urls = [
'https://www.teamssix.com',
'https://www.teamssix.com/page/2/',
'https://www.teamssix.com/page/3/',
'https://www.teamssix.com/page/4/',
'https://www.teamssix.com/page/5/'
]
阅读全文
【Python Scrapy 爬虫框架】 5、利用 pipelines 和 settings 将爬取数据存储到 MongoDB

0x00 前言

前文中讲到了将爬取的数据导出到文件中,接下来就在前文的代码基础之上,将数据导出到 MongoDB中。

0x01 配置 pipelines.py

首先来到 pipelines.py 文件下,在这里写入连接操作数据库的一些功能。

将连接操作 mongo 所需要的包导入进来

1
import pymongo
阅读全文
【Python Scrapy 爬虫框架】 4、数据项介绍和导出文件

0x00 前言

通过上文的内容,已经把博客文章的标题及目录爬取下来了,接下来为了方便数据的保存,我们可以把这些文章的标题及目录给包装成一个数据项,也就是 items。

0x01 配置 item

先来到 items.py 文件下,对标题及目录的信息进行包装,为了对这些信息进行区别,还需要有一个 id,所以代码如下:

1
2
3
4
class TeamssixItem(scrapy.Item):
_id = scrapy.Field()
title = scrapy.Field()
list = scrapy.Field()
阅读全文
【Python Scrapy 爬虫框架】 3、利用 Scrapy 爬取博客文章详细信息

0x00 写在前面

在之前的文章中,会发现如果直接使用爬取命令,终端会回显很多调试信息,这样输出的内容就会显得很乱,所以就可以使用下面的命令:

1
scrapy crawl blogurl  -s LOG_FILE=all.log
阅读全文