【学习笔记】ifram配合arp欺骗

做arp欺骗实验,本来只想替换指定页面的一张图片,无奈ettercap配置了半天替换内容总是失败,试着用netfuke劫持pic.png请求,却不支持.png请求,响应内容也必须在1024字节内,无奈只好将整个页面劫持,ifram载入自己伪造的相同页面,替换掉图片,劫持html代码如下: <html xmlns=”http://www.w3.org/1999/xhtml&#822…

【随手笔记】后台运行命令行指令

最近为方便测试搭建测试环境,需要使用命令行工具穿透内网将域名80端口映射到本机,cmd执行该程序总是要开着一个命令行窗口如图 窗口关掉服务就不运行了,就写了个vbs脚本实现隐藏命令行窗口启动服务 set ws=CreateObject(“Wscript.shell”) ws.run “cmd /c cmdshell”,vbhide 创建快捷方式到wi…

【学习笔记】Nmap命令

debian:/# nmap -sP 10.10.10.136 Starting Nmap 4.62 ( http://nmap.org ) at 2009-07-30 14:29 CST Host localhost (10.10.10.136) appears to be up. Nmap done: 1 IP address (1 host up) scanned in 0.038 seco…

【代码注入】内容欺骗

今天接触到内容欺骗,就顺手拿公司网站看了下,还真有这个问题存在。公司网站有一展示页面,供用户用富文本编辑器填写,将文本内容提交代码 <form action=”http://www.nobodycn.com/20160829.php” method=”POST”>用 户 名: <input name=”username” type=”text” />密     码: &lt…

【学习笔记】XSS技巧

XSS中有个并不常用的标签<base>,他的作用是定义页面上的所有使用“相对路径”标签的hosting地址。 如www.abc.com页面代码: <body><img src=’/logo.jpg’/><script src=’/login.js’></script></body&gt…

【读书笔记】160825-你只是看起来很努力

看起来每天熬夜,却只是拿着手机点了无数个赞; 看起来那么早去上课,却只是在课堂里补昨天晚上的觉; 看起来在图书馆做了一天,却真的只是坐了一天; 看起来去了健身房,却只是在和帅哥、美女搭讪。 你以为你在合群,你在浪费青春 一个宿舍四个人,他是唯一不玩游戏的,可是他们群起而攻之:“学习有什么用啊?装什么啊?你不加入我们,今后怎么可能会有出息啊?”那天我特别郁闷地想起了我们的大学。 其实,在那个群体里面…

【测试技巧】自动化测试中验证码的一种解决思路

最近针对公司网站写自动化测试脚本,对于验证码的问题,之前的解决方案是让开发在每次需要自动化测试及性能测试时对需要测试的环境惊醒去验证码,等测试完再把验证码还原。对于测试来说,验证码一直都是难题,要做到识别很费精力并且识别率并不高,设置万能验证码会降低网站的安全性,而每次都进行去验证码则过于浪费人力并且测试的真实性得不到保障。于是想了一种思路,既可以一次解决测试部的验证码问题,又不会有任何安全影响,…