Javascript 是一种由Netscape的LiveScript发展而来的原型化继承的基于对象的动态类型的区分大小写的客户端脚本语言，主要目的是为了解决服务器端语言，比如Perl，遗留的速度问题，为客户提供更流畅的浏览效果。 因为服务器端脚本可以…

目录 1 基础知识1.1 概述1.2 原理1.3 危害 2 攻击2.1 实验环境2.2 利用方式2.2.1 正常访问2.2.2 端口扫描2.2.3 读取系统本地文件2.2.4 内网Web应用指纹识别2.2.5 攻击内网应用 2.3 绕过 3 漏洞挖掘4 防御5 总结参考文献 1 基础知识 1.1 概述 背景：互联网上的很多…

转载https://zhuanlan.zhihu.com/p/147373196 工欲善其事必先利其器，我们来介绍两款用于邮件伪造的测试工具，实现伪造任意用户邮箱。 SimpleEmailSpoofer 这是一个很简单的python脚本，帮助渗透测试人员进行电子邮件伪造。 Github项目地址&…

session与cookie的区别 cookie数据保存在客户端，session数据保存在服务端。 session 简单的说，当你登陆一个网站的时候，如果web服务器端使用的是session，那么所有的数据都保存在服务器上，客户端每次请求服务器的时候…

TCP创造并发展于1970年代～1980年代，这注定了它能工作但脆弱。 在TCP伊始，最重要的是可用，而不是高效，也不是安全，因此，在端到端TCP连接的中间，利用伪造的ACK，你很容易完…

使用视频作为网页背景是件很酷的事情，但也是件困难的事情。CSS里的background-image属性只能使用图片、SVG、颜色或渐变色。但从技术讲，我们是可以伪造出一种效果，让视频以背景的角色出现在其它HTML元素后面。这其中的难点是视频要填充整个浏…

前端如何伪造自己想要的接口数据-json数据 场景，最近在做一个vue的大项目，但是没有数据接口啊！也没有自己想要的那个属性，想到的第一种方法居然是用node.js去爬取网页的那些数据，再传到数据库，再写接口&…

我是前端西瓜哥，今天来学习 CSRF。 CSRF，跨站请求伪造，英文全称为 Cross-site request forgery。也可称为 XSRF。 CSRF 攻击 利用的是用户对浏览器的信任。 当我们成功登录一个网站时，其实浏览器在这个网站域名下保存好了 登录…