burp本地抓包 再 通过转发访问URL地址

burp本地抓包 再 通过转发访问URL地址
起因是这样的,单位设置了IE代理,除了内部域名默认使用了一个代理脚本: 浏览器默认脚本转发 这个脚本里面大概是如下内容: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 function FindProxyForURL(url, host) { if (shExpMatch(host, "10.*") || shExpMatch(host, "localhost") || shExpMatch(host, "172.*&q...

密码保护:因为总是经常登录麻烦,自写脚本堡垒机PHP获取cookie及使用模拟登陆

密码保护:因为总是经常登录麻烦,自写脚本堡垒机PHP获取cookie及使用模拟登陆
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 <meta http-equi...

后台(内网)打穿神器→xss蠕虫

后台(内网)打穿神器→xss蠕虫
首先要说一下,有这个插件是因为看了一篇文章,然后根据文章提供的dom稍作修改。 文章地址:延长 XSS 生命期 作者:EtherDream   有兴趣的朋友可以看看。本插件至少在chrome浏览器已经测试成功完全没问题。其他浏览器未测。 插件使用方法及注意事项: 首先使用这个插件必须要有一个使用【默认模块】的一个项目,注意这个项目只能使用【默认模块】不要使用其它模块配合。 此...

百度搜索框反射XSS分析 (2015年案例)

百度搜索框反射XSS分析 (2015年案例)
最近迷恋上了反射XSS,搜集各种相关知识,案例。最近发现一个2015年某大神找到的百度搜索框的反射XSS,看完之后觉得还是很有学习的意义的。 【案例一:百度搜索框反射XSS分析】 首先上图加完整payload如下: 百度搜索框反射XSS http://www.baidu.com/s?wd=site:<script/xx>/**/alert(/XSSPAYLOAD/)// 不过还好,有曾经这个网页的快照来分析代码,所以废话不多说,直接...

swf\flash反编译工具 JPEXS Free Flash Decompiler

swf\flash反编译工具 JPEXS Free Flash Decompiler
很多人网上找到的swf\flash反编译工具不是被捆木马,就是病毒文件,巨坑,还有什么需要注册码,还有什么全是广告也无法下载,这里本人推荐一款软件swf\flash反编译工具,免费且真的好用,本人亲测。如图: JPEXS Free Flash Decompiler工具截图 下载地址:http://pan.baidu.com/s/1gf5SWin  密码:amme 官方网站:https://www.free-decompiler.com/flash/ 当然了它也需要你...

密码保护:规范区–运维(组织级)-运维日常操作规范

密码保护:规范区–运维(组织级)-运维日常操作规范
运维日常操作规范 服务器上架规范 服务器出厂前按要求配置RAID信息并设置相关参数 服务器到货前规划好机器机柜、机架号、主机名和网络配置信息并导入资产管理系统 Cobbler配置相关服务器的网络配置和主机名信息 服务器系统安装完成后,自动完成系统初始化和基本监控 服务器配置变更规范 负载均衡器 上班时间或业务高峰仅允许操作新增删除后端节点服务器,禁止修改任何其他配...

密码保护:规范区–运维(组织级)-软件类安装规范

密码保护:规范区–运维(组织级)-软件类安装规范
1. 操作系统(LINUX) 1.1、版本:操作系统的版本必须使用当前在用的主要版本,不得自行选择其他版本,如因特殊情况需要使用其他版本或者其他操作系统,需经运维总监审批。 1.2、安装方式:操作系统的安装必须使用已经搭建好的Cobbler等系统,不得手工进行安装,如有例外,需运维总监审批。 2. 应用程序 2.1、所有需要在生产环境安装的应用程序及其版本,必须为当前允许使用...

密码保护:规范区–运维(组织级)-生产环境服务器账号申请规范

密码保护:规范区–运维(组织级)-生产环境服务器账号申请规范
务器账号申请条件 原则上非运维人员禁止登陆生产环境服务器,有如下需求的可以申请临时账号: 1、特殊业务,运维人员暂时无法管理,需要研发人员暂时自行管理; 2、运维平台未能覆盖到,而且使用很频繁的需求,可以开通普通用户权限账号。 账号申请流程 为保障服务器安全,账号有效期为1-3个月,到期前会有邮件提醒续期,如需继续使用,请再次提交Jira流程。 1、提交Jira流...