前端开发过程中会接触各种各样的编码,比较常见的主要是UTF-8和HTML实体编码,但是web前端的世界却不止这两种编码,而且编码的选择也会造成一定的问题,如前后端开发过程中不同编码的兼容、多字节编码可能会造成的XSS漏洞等。因此,本文旨在更好的全面了解涉及前端开发领域的字符编码,避免可能出现的交互和开发中的忽视的漏洞。 ---- URL编码 我曾经在URL编码解码和base64一文中讲述了URL编码中的三组函数,并对比了这三组函数与base64编码的关系,在此简要说明一下。 escape/unescape
在以往的培训和渗透过程中,发现很多渗透人员尤其是初学者在挖掘xss漏洞时,很容易混淆浏览器解析顺序和解码顺序,对于html和js编码、解码和浏览器解析顺序、哪些元素可以解码、是否可以借助编码绕过等情况也基本处于混沌的状态,导致最终只能扔一堆payload上去碰碰运气。这篇文章就把浏览器解析顺序、编码解码的类型、各种解码的有效作用域以及在xss里的实战利用技巧做一个系统总结,让你深度掌握xss挖掘和绕过。
数据经过网络传输都是以字节为单位的,所以所有的数据都必须能够被序列化为字节。在Java中数据要被序列化,必须继承Serializable接口。
如果一个字符的大小是一个字节的,称为窄字节;如果一个字符的大小是两个字节的,成为宽字节
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。
URL( uniform resource locator)由四部分组成:scheme、domain、path、resource
这就是为什么我们在浏览器的地址栏中能看到中文,但是把地址拷贝出来后中文就变成了一些奇怪的串了。
ASCII(美国信息交换标准代码)是基于拉丁字母的一套电脑编码系统。它主要用于显示现代英语,是现今最通用的单字节编码系统。
前言 第100篇就不水了,好好写一下 不过牛还是要吹的: CSDN内容合伙人、2023年新星计划web安全方向导师、 华为MindSpore截至目前最年轻的优秀开发者、IK&N战队队长、 阿里云专家博主、华为网络安全云享专家、腾讯云自媒体分享计划博主 第一题:我爱吃石榴 原题出自ctfshow 真是太善良了,直接通过谐音把加密方法告诉我们了。 他真的,我哭死 石榴==16 直接16进制转字符串即可 16进制转换,16进制转换文本字符串,在线16进制转换 | 在线工具 但这道题在ctfshow上
<meta name=“viewport” content=“width=device-width, initial-scale=1.0”>
本篇为2019年DDCTF部分Web的write up,整体来说,能做的都算是中等难度,就是有些耗时间,其次就是思路的问题了,为了避免太长所以我分两篇来写,不喜勿喷,喷了我也不会理
【本文目标】 通过本文学习,以太坊学习者可以把中文长文章记录到区块链上,不会被删除。
上传文件的流程: 网页上传 -> 目标服务器的缓存目录 -> 移动到代码规定的目录 -> 重命名(开发) 移动上传文件函数: move_uploaded_file()
用爬虫在百度爬图片的时候,发现部分查询关键字的时候,出现爬不出图片的情况.比如在爬鱼的时候,就没有结果.爬鱼 图片就会有结果.
本次逆向的目标来源于吾爱破解 2022 春节解题领红包之番外篇 Web 中级题,吾爱破解每年都会有派送红包活动(送吾爱币),需要大家使出看家逆向本领来分析内容获得口令红包,今年一共有五个题,一个送分题,两个 Windows 题、一个 Android 题和一个 Web 题,本文分析的正是 Web 题,吾爱有规定活动结束前不要外泄口令、讨论分享分析过程,所以本文在活动结束后才发出来。
作 者 牛志恒,腾讯互娱开发工程师 商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处。 WeTest 导读 本篇包含了XSS漏洞攻击及防御详细介绍,包括漏洞基础、XSS基础、编码基础、XSS Payload、XSS攻击防御。 第一部分:漏洞攻防基础知识 XSS属于漏洞攻防,我们要研究它就要了解这个领域的一些行话,这样才好沟通交流。同时我建立了一个简易的攻击模型用于XSS漏洞学习。 1. 漏洞术语 了解一些简单术语就好。 VUL Vulnerability漏洞,指能对系统造成损坏或能借之攻
在magic_quotes_gpc=On的情况下,提交的参数中如果带有单引号’,就会被自动转义\’,使很多注入攻击无效,
本篇包含了XSS漏洞攻击及防御详细介绍,包括漏洞基础、XSS基础、编码基础、XSS Payload、XSS攻击防御。
前端安全方面,主要需要关注 XSS(跨站脚本攻击 Cross-site scripting) 和 CSRF(跨站请求伪造 Cross-site request forgery)
一般MD5值是32位由数字“0-9”和字母“a-f”所组成的字符串,如图。如果出现这个范围以外的字符说明这可能是个错误的md5值,就没必要再拿去解密了。16位值是取的是8~24位。
会有乱码现象,其实就是因为字符集编码不一致的问题,就好像中国人和外国人谈话一样,互相不懂对方在说啥。字符集编码也是如此,本来就是一段GBK编码的文字,却要用utf-8的编码格式去解码,就当然是鸡同鸭讲会出现乱码啦,这个时候就得使用GBK编码的格式去解码才不会出问题。如果互相都是使用的GBK编码后,那就像中国人和中国人都说普通话一样,就能听懂对方在说什么,这样才不会出现乱码。
描述:主要对于 escape , encodeURI 与 encodeURIComponent 区别详解: 它们都是用来对URI (RFC-2396)字符串进行编码的全局函数,但是它们的处理方式和使用场景有所不同:
由于制作免杀时经常要用到的一些加解密和字符串转换,经常要切换另一个项目或要打开另一个工具来进行加解密或转换,切换另一个项目非常麻烦,使用的工具又不能完全满足我的要求,还要自己进行调整,如果工具是java写的打开还会非常慢,于是我按照本人的习惯,将我制作免杀时经常要用到的一些功能集成到了一个小工具中,使用C++编写,使用起来小巧快速。
加密解码/编码解码,又叫%u编码,采用UTF-16BE模式, Escape编码/加密,就是字符对应UTF-16 16进制表示方式前面加%u。Unescape解码/解密,就是去掉”%u”后,将16进制字符还原后,由utf-16转码到自己目标字符。如:字符“中”,UTF-16BE是:“6d93”,因此Escape是“%u6d93”,反之也一样!因为目前%字符,常用作URL编码,所以%u这样编码已经逐渐被废弃了!
告诉服务器cgi和pl后缀的文件都是cgi脚本,编写python脚本,并放入/var/www/cgi-bin/目录下
大家好,我是ABC_123。在日常的工作学,ABC_123写了很多的蓝队分析方面的小脚本小工具,来回切换工具太麻烦,对于内存马的编译、反编译、各种编码解码尤其麻烦,于是将这些小工具集合起来形成了现在的“蓝队分析研判工具箱”,重点解决蓝队分析工作中的一些痛点问习中题。
decode将16进制数据解码成字节并返回,比如下面就将"Hello world!"的16进制模式转化为"Hello world!"的字节表示
做测试模拟器用到了hex-bytes-str之间的转换bcc码的校验,这里总结了一些方法分享给大家。
前言 本文只针对比较流行的跳转型暗链作为研究对象,其他类型的暗链暂时不做讨论。只对bypass进行讨论,不涉及检测工具的编写。本着不知功焉知防的思想,从绕过XSS过滤的角度对暗链检测提出一些新的idea。 跳转型暗链的一般模式 暗链模式一:见人说人话 如今很多的被植入暗链的网站都有一个奇怪的现象,就是通过地址直接访问不会跳转到非法网站,但是通过搜索引擎搜索关键字才会跳转到非法网站。 这种一般是通过JS的document.refere字段来实现的: HTTP Header referer这玩意主要是告诉人们
最近研究暗链比较多,也看了看最近网上的一些分析暗链的文章,发现关于暗链的文章还是比较少,内容大多不太深,比较粗糙,而且很多植入手法也比较落后了。所以我就想来写一篇符合当前时代特点的暗链分析文章,就当是抛砖引玉,有啥写的不到位的地方还请各位师傅斧正。
0x:16进制表示 00:表示0 0x00:就是代表16进制的0,在ASCII码里代表null。
进行协议解析时,总是会遇到各种各样的数据转换的问题,从二进制到十进制,从字节串到整数等等
整数之间的进制转换: 10进制转16进制: hex(16) ==> 0x10 16进制转10进制: int('0x10', 16) ==> 16 类似的还有oct(), bin() 字符串转整数: 10进制字符串: int('10') ==> 10 16进制字符串: int('10', 16) ==> 16 16进制字符串: int('0x10', 16) ==> 16 字节串转整数: 转义为short型整数: struct.unpack('<hh', bytes(b'\x01\x00\
decode('\x5f\x63\x68\x61\x6e\x67\x65\x49\x74\x65\x6d\x43\x72\x6f\x73\x73\x4c\x61\x79\x65\x72')
reverse----把元素下标进行互换,将原数组的元素进行反转,会改变原数组,并且反转后,还会返回一个数组
大家好,我是ABC_123。“蓝队分析研判工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点问题。此0.81版本支持哥斯拉webshell全部14种加密流量的解密,感谢"小黑"的帮助,添加溯源分析功能、网空资产测绘功能:包括Hunter、佛法、VirusTotal、Censys、Shadon、Zoomeye、Quake、微步威胁情报搜索功能,查看图片经纬度地理位置等功能,对所有文本框添加右键菜单,解决Linux、mac及jdk高版本兼容问题,很多其它功能如日志分析、聚合分析、接口查询由于时间关系未能完成,后续再继续更新。文末会给出ABC_123的官方Github下载地址,后续会持续在github发布该工具的最新版本。
大家好,我是ABC_123。“蓝队分析研判工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点问题。此0.83版本重点解决IPv6的支持问题,支持哥斯拉webshell全部14种加密流量的解密,感谢"小黑"的帮助,添加溯源分析功能、网空资产测绘功能:包括Hunter、佛法、VirusTotal、Censys、Shadon、Zoomeye、Quake、微步威胁情报搜索功能,查看图片经纬度地理位置等功能,对所有文本框添加右键菜单,解决Linux、mac及jdk高版本兼容问题,很多其它功能如日志分析、聚合分析、接口查询由于时间关系未能完成,后续再继续更新。
FushionCharts是把抽象数据图示化的套件,使用方便,配置简单。其相关參数中文说明例如以下。
请你设计一个算法,可以将一个 字符串列表 编码成为一个 字符串。 这个编码后的字符串是可以通过网络进行高效传送的,并且可以在接收端被解码回原来的字符串列表。
GIL锁什么情况下会释放:IO等待时、时间片结束时、自解码遇到阀值/数量(默认是100条) 程序有计算密集型和IO密集型,GIL对IO密集型有效果 对象:万物皆对象 对象分为不可变对象(数字、字符串、元组)和可变对象(列表、字典、集合) 引用:对象在内存中存储的地址。 缓存机制:我们常用的一些数字字母计算机都自动分配好空间进行了存储,我们在使用的时候,直接引用即可,不会再重新开辟空间 静态模块:以.py结尾的这种python源码文件 动态模块:以.pyd结尾的,解释器解释之后的文件 自解码文件 在我们使用p
目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复。
URL 编码的规则:简单来说,如果需要对一个字符进行 URL 编码,首先需要判断该字符是否是 ASCII 字符:
通过调用Intellij Idea、CFR、Procyon、JD-Core、JDK等5种反编译工具接口,分别对Base64加密的class文件、转成Byte数组的class文件、BECL编码的class文件、Base64编码+Gzip编码的class文件、原版class文件反编译成java代码,方便蓝队人员分析异常流量中的内存马代码。
大家好,我是ABC_123。“蓝队分析研判工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点问题。此0.72版本添加溯源分析功能、网空资产测绘功能:包括Hunter、佛法、VirusTotal、Censys、Shadon、Zoomeye、Quake、微步威胁情报搜索功能,查看图片经纬度地理位置等功能,对所有文本框添加右键菜单,解决Linux、mac及jdk高版本兼容问题,很多其它功能如日志分析、聚合分析、接口查询由于时间关系未能完成,后续再继续更新。文末会给出ABC_123的官方Github下载地址,后续会持续在github发布该工具的最新版本。
今日头条如今在自媒体领域算是比较强大的存在,今天就带大家利用python爬去今日头条的热点新闻,理论上是可以做到无限爬取的;
1、什么实字符编码:将人识别的字符转换成计算机能识别的01,而转换的过程或者规则就是字符编码表。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
