原文地址:http://drops.wooyun.org/tips/13556 0x00 概述 很多时候，我们需要模拟QQ自动登录的场景，比如爬取QQ页面的时候，我们需要登录，当然，还有其它的需求就不方便说了。 比较简单的帐号登录，基本上都是发送一个请求包， 最多再伪造一下UserAgent，加一个验证码，就能搞定…继续阅读 »

原文地址:http://drops.wooyun.org/tips/6313 0x00 识别涉及技术 验证码识别涉及很多方面的内容。入手难度大,但是入手后,可拓展性又非常广泛,可玩性极强,成就感也很足。 验证码图像处理 验证码图像识别技术主要是操作图片内的像素点,通过对图片的像素点进行一系列的操作,最后…继续阅读 »

原文地址:http://drops.wooyun.org/tips/7505 0x00 摘要 Python由于其简单，快速，库丰富的特点在国内使用的越来越广泛，但是一些不好的用法却带来了严重的安全问题，本文从Python源码入手，分析其语法树，跟踪数据流来判断是否存在注入点。 关键词： Python 注入 源码 语法树 0x01 …继续阅读 »

原文地址:http://drops.wooyun.org/tips/125 目前有很多网站做了rewrite. /?id=1 /1 /1111.php 通常情况下，动态脚本的网站的url类似下面这样 http://www.xxoo.net/aa.php?id=123 做了伪静态之后类似这样 http://www.xxoo.net/aa.php/id/123.html 总归大趋势下，攻击的门槛逐渐增高。…继续阅读 »

原文地址:http://drops.wooyun.org/tips/8547 本章节节选翻译自《Understanding Network Hacks: Attack and Defense with Python》中的第四章Layer 2 Attacks。该书通过网络层次划分介绍漏洞，并使用Python编写相关利用工具进行网络攻防，每小节均按照“原理--代码--解释--防御”的结构行文，此书也可与《Python…继续阅读 »

原文地址:http://drops.wooyun.org/papers/4751 0x00 准备 文章内容仅供学习研究、切勿用于非法用途！ 这次我们使用Python编写一个具有键盘记录、截屏以及通信功能的简易木马。依然选用Sublime text2 +JEDI（python自动补全插件）来撸代码，安装配置JEDI插件可以参照这里： http://drops.wooyun.…继续阅读 »

原文地址:http://drops.wooyun.org/tips/4413 0x00 背景 本文为《小学生科普系列》的番外篇，本系列面向小学生，纯科普，大牛莫喷~ 教程中所有内容仅供学习研究，请勿用于非法用途，否则....我也帮不了你啊... 说起注入，大家第一印象可能还习惯性的停留在sql注入，脚本注入（X…继续阅读 »

原文地址:http://drops.wooyun.org/tips/2568 0x00:概述 本文从实例代码出发，讲解了Python在网络安全分析中的作用，以最基础的示例向读者展示了Python如何解析、发送、以及嗅探网络中的数据包 系统环境：kali 并且具备了scapy，由于涉及底层网络操作，文中的示例代码均为linux下可用，…继续阅读 »

原文地址:http://drops.wooyun.org/tips/2591 0x00 概述 本文从实例代码出发，讲解了Python在WEB安全分析中的作用，以最基础的示例向读者展示了Python如何解析、获取、以及处理各种类型的WEB页面 系统环境：kali + beautifulsoup + mechanize，由于不涉及底层驱动设计，文中的示例代码可以在任…继续阅读 »

原文地址:http://drops.wooyun.org/tips/7710 0x00 前言 eval是Python用于执行python表达式的一个内置函数，使用eval，可以很方便的将字符串动态执行。比如下列代码： #!python >>> eval("1+2") 3 >>> eval("[x for x in range(10)]") [0, 1, 2, 3, 4, 5, 6, 7, 8, 9] 当内存中的内置模块含有os的…继续阅读 »