python回调函数中使用多线程

python回调函数中使用多线程
python回调函数demo 下面的demo是根据需求写的简单测试脚本 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 #!/usr/bin/env python # coding: utf-8 # 第一个列表为依赖组件和版本号,后面紧跟负...

甲方企业安全建设之钓鱼实践的一种姿势

甲方企业安全建设之钓鱼实践的一种姿势
效果图 效果图里是某公司的sso登录页,Chrome下同时显示的效果也是https; 欢乐的气氛下,其实大部分不是做安全的小伙伴并不知道为什么自己会中招。 原理和步骤 假设阿里巴巴的公司重要的系统入口是 login.alibaba-inc.com,那你就可以注册一个非常具有迷惑性的域名,例如 alibaba-cin.com。通过cloudflare启用一个login的二级域名,并配置https,然后开发一个一模一样的登录页面就可以进行钓鱼实...

前后端分离开发风险浅析

前后端分离开发风险浅析
1. 什么是前后端分离 从职责上区分: 负责交互与展示的部分为前端; 负责提供数据,处理业务的部分为后端。 核心思想是前端html页面通过ajax调用后端的restuful api接口并使用json数据进行交互。 2. 前后端分离架构的优势 1)提高工作效率,分工更加明确 前端只关注前端的事,后端只关心后端的活,两者开发可以同时进行。在后端还没有提供接口的时候,前端可以先通过Mock的方式模拟接口数据。页面的增加和...

前端加密后的一次渗透测试

前端加密后的一次渗透测试
*郑重声明:文中涉及的方法,只为交流学习之用。如有人用于非法用途,产生的后果笔者不负任何责任。 0×00前言 在做一次渗透测试项目中,发现使用BurpSuite抓到的包都是经过加密的,加密后的字符串类似base64编码方式,遂采用base64尝试解码,然而并没有解出来…那该怎么办呢?放弃吗?不可能!作为一个二十一世纪的大好青年,怎么能轻易说放弃!(不做项目会被辞退的)于是便有了此文! 0×01 发现加密 在测...

阿里云OSS约等于文件上传漏洞?

阿里云OSS约等于文件上传漏洞?
首先声明这是一篇标题党的文章,阿里云OSS不被这个锅,锅其实还是在企业或者说是用户。 前言 之所以要写这篇口水文,是因为最近在检测自家公司产品时发现存在这个问题,同时不久在测试某src的某系统时也存在类似这种问题,所以个人认为还是要提高一些警惕,让开发或测试者尽量消除不必要的麻烦,不要错误的认为文件托管在oss就可以忽略站内的上传功能存在的安全隐患。 概述 首先借用阿里云oss首页的介绍性...

fastjson =< 1.2.51 反序列化漏洞实战复测

fastjson =< 1.2.51 反序列化漏洞实战复测
0x00:漏洞情况 前2周接到外部安全厂商阿里开源组件fastjson爆发高危漏洞预警,该漏洞可通过恶意构造Paylod发送JSON请求对系统进行远程代码执行,可导致直接获取服务器权限。前边很久之前对漏洞进行复测,确认通过该漏洞可直接获取服务器权限,漏洞风险高。 上边文章的介绍采用的是rmi的方式进行监听反弹,无奈没复测成功。今天将漏洞的ldap方式利用过程写成博客记录下形成笔记。 影响版本fastjson < 1....

Fortigate SSLVPN漏洞分析和利用

Fortigate SSLVPN漏洞分析和利用
0x00 前言 该事情发生于去年8月,当时我们开始了一个新的SSL VPN研究项目。与ipsec和pptp等站点到站点VPN相比,ssl vpn更易于使用,并且可与任何网络环境兼容。为了方便起见,ssl  vpn成为企业最流行的远程访问方式! 但是,如果这个可信的设备是不安全的呢?它是一项公司的重要资产,但却是公司的盲点。根据我们对财富500强的调查,排名前三的SSL VPN供应商占据了大约75%的市场份额。ssl-vpn的多样性很小...

浅谈MSF渗透测试

浅谈MSF渗透测试
在渗透过程中,MSF漏洞利用神器是不可或缺的。更何况它是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。是信息收集、漏洞扫描、权限提升、内网渗透等集成的工具。 前不久MSF从4.7升级到MSF5.0,其中改进了数据库的处理逻辑,优化了msfconsole终端操作,并将PostgreSQL作为一个RESTful服务单独运行。此外还加入一...

密码保护:Java Web安全-代码审计

密码保护:Java Web安全-代码审计
@Author 安百科技 - 凌天实验室 - 园长 @Email [email protected] @Date 2018-12-29 @Github javaweb-codereview 一、JavaWeb安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的Java源代码文件我们可以直接阅读其源码,而对于已编译的cla...