nmask's Blog

所谓博客,都是孤芳自赏

  • 琅琊榜
  • 安全导航
  • 留言
  • 归档
  • 分类
  • 标签
  • RSS
  • 公众号
  • 漏洞库
  • 热点
  • 搜索
  • web安全系列
  • 渗透神器系列
  • Linux系列
  • Phantomjs系列
  • Multiprocessing系列
close


Python3.5协程学习研究

发表于 2018-06-21   |   分类于 编程之道   |   热度 ℃
今夕何夕故人不来迟暮连山黛

   之前有研究过python协程相关的知识,但一直没有进行深入探究。平常工作中使用的也还是以python2为主,然而最近的项目需要使用python3协程相关的内容,因此凑出时间学习了一番python3的协程语法。
   本篇主要以介绍python3.5的async/await协程语法为主,因为这种语法看上去很别扭,不容易理解。如果对python协程基础不是很了解,建议可以先看此篇:Python协程。

阅读全文 »

利用chrome_remote_interface实现程序化、自动化Web安全测试

发表于 2018-06-07   |   分类于 爬虫技术   |   热度 ℃
高考加油!

  如果要问有哪些抓包神器或者流量分析工具?以下几款工具是必须要提的,burpsuite(跨平台)、fiddler(windows下抓包神器)、wireshark(经典网络抓包工具)、justniffer(与前面几个使用代理获取流量不一样的是,justniffer是基于网卡获取流量)等。以上这几款工具之前我有单独成文介绍过,如有需要可点击蓝色链接移步。
  那么如果问有哪些程序化的抓包工具?(注明一下这里的程序化指的是可编程)首先burpsuite算一个,因为我们可以开发扩展工具(burpsuite插件开发之检测越权访问漏洞);另外fiddle也算一个,可以编辑配置文件,达到扩展功能,之前也介绍过。
  那么如果问有哪些即可以实现程序化又可以实现自动化的抓包工具?(注明一下这里的自动化是指自动产生流量)这个问题有点拗口,你可能会想为什么一个抓包工具要负责产生流量,流量交给爬虫岂不是更好?这个问题暂且放一放,继续往下看。

阅读全文 »

Supervisord管理进程实践

发表于 2018-06-01   |   分类于 技术研究   |   热度 ℃

小孩在门前唱着歌
阳光它照暖了溪河

  今天凑空研究了下Supervisord,这是一款linux进程管理工具,使用python开发,主要用于在后台维护进程(类似master守护进程),可以实现监控进程的状态、自动重启进程等操作,便于一些服务的维护与监控。
阅读全文 »

区块链系列·python实现的区块链

发表于 2018-05-25   |   分类于 区块链安全   |   热度 ℃

地是床 天是被 流星是眼泪
有时醒 有时醉 大雁飞一个来回

  听说现在会点区块链技术的工资都高破天了,抱着对高工资的幻想,我决定也开始学一学区块链吧。那么我想接触区块链的第一步必须得是去交易平台注册个帐号,然后充点钱买0.00001个BTC了。(2333,~!~现在我穷得只剩下币了)
阅读全文 »

端口扫描器的几种代码实现方案

发表于 2018-05-17   |   分类于 编程之道   |   热度 ℃

这雨夜太漫长 失眠的我 在谁梦里 歌唱

  搞安全的应该都知道端口扫描在渗透测试、漏洞扫描过程中的重要性,其与URL爬虫等技术构成了漏洞扫描的第一阶段,即目标信息收集。因此能否开发出一款高效稳定的端口扫描器,往往决定了漏洞扫描器的好坏。那么说到端口扫描器,我们往往会先想到nmap、masscan等神器,它们是这个领域的标杆。但本篇并不是为了介绍这几款工具,而是谈谈如何自研一款高效稳定的端口扫描器。
阅读全文 »

利用python开发app实战

发表于 2018-05-08   |   分类于 编程之道   |   热度 ℃
你说,我们的未来
被装进棺材,染不上尘埃

  我很早之前就想开发一款app玩玩,无奈对java不够熟悉,之前也没有开发app的经验,因此一直耽搁了。最近想到尝试用python开发一款app,google搜索了一番后,发现确实有路可寻,目前也有了一些相对成熟的模块,于是便开始了动手实战,过程中发现这其中有很多坑,好在最终依靠google解决了,因此小记一番。

阅读全文 »

burpsuite插件开发之检测越权访问漏洞

发表于 2018-05-04   |   分类于 编程之道   |   热度 ℃
那个喝醉的夜晚,挡不住我们的步伐

  前些天公司买了些BurpSuite的License,终于可以用上正版了,先给公司来波赞!好啦,言归正传,BurpSuite作为Web安全测试的一大神器,其中一个优势就是其扩展性好。BurpSuite支持Java、Python、Ruby作为其插件的扩展语言,而在其内置的Bapp_Store中也有很多很强大的插件。作为一名程序猿,心想是时候自己动手开发一款专属插件了,抱着此心态我便开始尝试学习摸索着Coding,于是便有了此文。

阅读全文 »

基于余弦相似性的404页面识别

发表于 2018-04-12   |   分类于 技术研究   |   热度 ℃
也许老街的腔调,是属于我的忧伤

  写过爬虫或者漏洞扫描器的朋友肯定遇到过一个问题,就是如何判断一个url对应的页面是个404页面,因为这对之后的逻辑判断尤为重要。然而由于存在一些特殊情况,导致404页面判断没有想象中的那么简单,这往往跟服务器配置有关。本篇作为《漫谈漏洞扫描器的设计与开发》的一个分支文章,重点谈谈如何判断一个页面是否为404页面。

阅读全文 »

Pyecharts 可视化初探

发表于 2018-04-09   |   分类于 编程之道   |   热度 ℃
纸短情长啊,诉不完当时年少,我的故事还是关于你呀

  最近在开发web应用过程中,需要用到可视化展示功能,因此找了找Python相关的可视化模块。这里简单记录下pyecharts模块的用法。推荐它主要是因为其功能强大,可视化功能选择比较多,且使用比较简单。

阅读全文 »

记一次爬虫批量爬取exp

发表于 2018-03-27   |   分类于 爬虫技术   |   热度 ℃
磨刀不误砍柴工

  最近需要收集一些exp,因此逛了逛exploit-db、国内exp搜索大全、seebug等几个exp收集的网站。由于需要批量获取漏洞信息以及对应的exp内容,因此心想有必要写一款爬虫去自动化收集漏洞exp。

阅读全文 »

漫谈漏洞扫描器的设计与开发

发表于 2018-03-16   |   分类于 编程之道   |   热度 ℃

世界の果てまで、君と離れたくない。

  前几天在TSRC换了本《白帽子讲WEB扫描》,昨天凑空拜读了一遍。整体读下来的感觉是,书中关于WEB漏洞扫描器设计与开发所需的知识描述得比较全面,包括一些坑点也有涉及。但对于每一方面的内容描述得不够深入不够细致,适合从0开始学习设计开发漏洞扫描器的工程师,给其提供一些设计思路,避免一些不必要的坑点。当然设计开发扫描器本身就是一个很复杂的工程,作者也不可能在一本书中详细描述,再者有些坑还得自己踩过才知道。
阅读全文 »

Headless Chrome and API

发表于 2018-03-06   |   分类于 爬虫技术   |   热度 ℃
我已爬遍了全世界,而你却迟迟不见

  自从Google在chrome59版本后加入了 Headless Chrome,类似phantomjs、selenium等工具作者都放弃了维护自身的产品(原因可参考文章 QtWebkit or Headless Chrome)。因此作为使用者的我们也是时候放弃phantomjs,转而研究Headless Chrome了。由于网上对于Headless Chrome的资料还很少,因此我先收集整理一波,随后慢慢学习研究,渐渐将本篇内容补充完善。

阅读全文 »