标签 admin 下的文章

sqlmap time-based inject 分析

1.前言

之前一次会议分享了sql注入检测方法,所以@chengable大牛问我sql注入咋检测的?我说在甲方做安全,sql注入检测还是比较好做的。
1)报错注入检测。
2)别做bool的报错注入,误报比较高。
3)做基于time-based的时间注入,联系运维做上慢日志db记录,监控sleep,benchmark的关键字监控,可以在sleep的时间小数点上加上扫描任务的id号,方便定位(ps,这种方法能找到99%的sql注入了)。




- 阅读剩余部分 -

centos 编译 chrome 踩坑之旅

1.前言

看了http://blog.fatezero.org/2018/03/05/web-scanner-crawler-01/ 这个大牛的文章,发现还有神人修改chrome代码来解决chrome headless的弹窗问题。。不得不佩服8g多的代码人家可以找到代码位置,并修改和优化。

前人种树,后人乘凉,决定改一下代码,自己编译一波,不想编译chrome如此坑爹。mmp,貌似能踩到坑我给踩了,不能踩的我也给踩了。。

- 阅读剩余部分 -