泷羽Sec-星河飞雪-BurpSuite之解码、日志、对比模块基础使用
免责声明
学习视频来自 B 站up主泷羽sec,如涉及侵权马上删除文章。
笔记的只是方便各位师傅学习知识,以下代码、网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负。
泷羽sec官网:https://longyusec.com/
泷羽sec B站地址:https://space.bilibili.com/350329294
泷羽sec帮会:https://wiki.freebuf.com/front/societyFront?invitation_code=5a2005d9&society_id=239&source_data=2
项目工程管理
temporary project(临时工程)
定义:
临时工程指的是为了完成特定任务或解决短期需求而创建的工程项目,这些项目通常不具有长期性,一旦目标达成或需求满足,项目就会结束。
特点:
- 时效性:临时工程通常具有明确的时间限制,需要在规定的时间内完成。
- 目的性:每个临时工程都有明确的目标或任务,如解决特定技术难题、进行短期市场调研等。
- 资源有限:由于项目周期短,所投入的人力、物力等资源相对有限。
- 灵活性:临时工程在规划和执行过程中具有较高的灵活性,可以根据实际情况进行调整。
管理要点:
- 明确目标:在项目启动前,要清晰定义项目的目标、范围和时间限制。
- 资源分配:合理调配资源,确保项目能够按时、按质完成。
- 风险管理:识别潜在风险,制定应对策略,降低项目失败的可能性。
- 沟通与协作:加强团队成员之间的沟通与协作,确保信息畅通无阻。
new project on disk(新建工程)
定义:
新建工程指的是在磁盘上创建一个全新的工程项目,用于开发新产品、新技术或实现新功能。
步骤:
- 需求分析:明确项目的需求、目标以及预期成果。
- 项目规划:制定项目计划,包括时间表、任务分配、资源需求等。
- 环境搭建:配置开发环境,包括安装必要的软件、工具以及依赖库。
- 代码编写:根据设计文档和需求进行代码编写。
- 测试与调试:对代码进行测试,确保功能正确且稳定。
- 文档撰写:编写项目文档,包括设计文档、用户手册等。
- 项目交付:将项目成果交付给客户或进行上线发布。
管理要点:
- 需求明确:在项目开始前,要确保需求清晰、完整。
- 计划合理:制定切实可行的项目计划,并定期进行进度跟踪。
- 团队协作:加强团队成员之间的沟通与协作,共同推进项目进展。
- 质量保障:重视代码质量,定期进行代码审查和测试。
open existing project(打开一个工程)
定义:
打开一个已存在的工程项目,继续上次未完成的工作。
步骤:
- 项目回顾:回顾项目的背景、目标、进度以及存在的问题。
- 环境配置:确保开发环境与上次一致,包括软件版本、依赖库等。
- 代码审查:查看上次的代码提交记录,了解项目进展。
- 任务分配:根据当前进度和团队成员的能力,分配后续任务。
- 继续开发:在原有基础上继续开发,确保功能完整且稳定。
- 测试与验证:对新增功能进行测试,确保功能正确且不影响原有功能。
管理要点:
- 环境一致:确保开发环境与上次一致,以避免因环境差异导致的问题。
- 任务衔接:明确上次未完成的任务和当前任务之间的关系,确保任务顺利衔接。
- 代码质量:在继续开发过程中,保持代码质量,避免引入新的问题。
- 进度跟踪:定期更新项目进度,确保项目按计划进行。
pause Automated tasks(是否停止自动化工程)
定义:
在项目管理过程中,根据需要决定是否暂停自动化任务。
考虑因素:
- 资源限制:当资源不足或优先级发生变化时,可能需要暂停部分自动化任务以释放资源。
- 系统稳定性:在发现自动化任务导致系统不稳定或影响其他功能时,需要暂停任务进行排查和修复。
- 维护需求:在进行系统维护或升级时,可能需要暂停自动化任务以避免干扰。
决策流程:
- 评估影响:分析暂停自动化任务对项目进度和稳定性的影响。
- 沟通协商:与团队成员、客户或相关利益方进行沟通,确保决策得到理解和支持。
- 制定计划:制定暂停和恢复自动化任务的计划,包括时间节点、任务分配等。
- 执行与监控:按照计划执行暂停操作,并持续监控系统状态,确保决策的有效性。
- 恢复任务:在条件允许的情况下,及时恢复自动化任务,确保项目顺利进行。
管理要点:
- 灵活决策:根据项目实际情况和需求,灵活决定是否暂停自动化任务。
- 充分沟通:确保决策过程透明、公正,与团队成员和相关利益方保持密切沟通。
- 风险控制:在暂停和恢复自动化任务时,要充分考虑潜在风险,并制定相应的应对策略。
Decoder(编码器)
功能概述: 对数据进行编码和解码操作,处理如URL编码、Base64编码等常见格式。
举例:
URL编码解码
假设在burpsuite中截获一个URL编码的字符串"%3Cscript%3Ealert (1)%3Fscript%3E"用Decoder解码获得"<script>alert (1)?script>"。这很容易就可以看出是一个跨站脚本攻击的恶意脚本。
但由于编解码的原理是特征比对,所以最好是选择知名度较高的在线编解码网站进行相关操作。这些网站的数据库容量庞大,进行编解码操作相对更顺畅。
例如MD5加密这种不可逆的加密,只能靠数据库记录用户每一次加密后生成的字符串,如果遇到同样的字符串进行解密,就可以将结果输出。
应用场景: 分析HTTP请求中的参数。如果请求参数是编码的,解码后查看是否存在恶意注入,如SQL主任或XSS攻击的内容。
Logger(日志记录)
功能概述:
BurpLogger模块主要用于记录通过BurpSuite代理的网络流量。它能够详细记录HTTP请求和响应的各种信息。
包括请求方法(如GET、POST等)、请求的URL、请求头(如User-Agent、Content-Type等)、请求体内容、响应状态码(如200、404等)、响应头和响应体等。
这些记录对于安全测试人员来说是非常宝贵的资源。能够帮助他们分析应用程序的行为、追踪潜在的安全漏洞以及重现测试过程。
Comparer(对比器)
Burp Comparer模块是一个强大的工具,用于比较两个数据块之间的差异。这些数据块可以是HTTP请求、HTTP响应、文件内容等。
它可以精确地找出两个数据块在字节级别或字符级别上的不同之处,包括新增的内容、删除的内容以及修改的内容。这有助于安全测试人员快速识别出可能导致安全漏洞应用程序功能变化的关键差异。
相关文章:
泷羽Sec-星河飞雪-BurpSuite之解码、日志、对比模块基础使用
免责声明 学习视频来自 B 站up主泷羽sec,如涉及侵权马上删除文章。 笔记的只是方便各位师傅学习知识,以下代码、网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负。 泷羽sec官网:http…...
对拍详细使用方法
对拍的作用 对于我们在学校OJ,cf,牛客…各种只提供少量测试数据的题目,常常交上代码常常超时,能写出正确的暴力代码而题目要求的时间复杂度更低。然而这时你写出了能通过样例且时间复杂度更低的代码,但交上去就是错误…...
Python面向对象编程与模块化设计练习
需求: 编写一个BankAccount类,模拟银行账户功能: 属性:账户名、余额 方法:存款、取款、查询余额 使用模块将类和测试代码分离。 模块文件:bank_account.py 该模块包含 BankAccount 类。 class BankAccoun…...
Linux系统硬件老化测试脚本:自动化负载与监控
简介: 这篇文章介绍了一款用于Linux系统的自动化硬件老化测试脚本。该脚本能够通过对CPU、内存、硬盘和GPU进行高强度负载测试,持续运行设定的时长(如1小时),以模拟长时间高负荷运行的环境,从而验证硬件的稳…...
搭建一个基于Web的文档管理系统,用于存储、共享和协作编辑文档
搭建一个基于Web的文档管理系统,用于存储、共享和协作编辑文档 本项目采用以下架构: NFS服务器: 负责存储文档资料。Web服务器: 负责提供文档访问和编辑功能。SELinux: 负责权限控制,确保文档安全。Git服务器: 负责存储文档版本历史&#x…...
排序学习整理(1)
1.排序的概念及运用 1.1概念 排序:所谓排序,就是使⼀串记录,按照其中的某个或某些关键字的大小,递增或递减的排列起来的操作,以便更容易查找、组织或分析数据。 1.2运用 购物筛选排序 院校排名 1.3常见排序算法 2.实…...
《深入探究 Java 中的 boolean 类型》
在 Java 编程语言的世界里,boolean 类型虽然看似简单,却在程序的逻辑控制和决策中起着至关重要的作用。本文将带你深入了解 Java 中的 boolean 类型,从其基本概念、用法到实际应用场景,以及一些常见的注意事项。 一、boolean 类型…...
智享 AI 自动无人直播系统:打破地域与时间枷锁中小微企业的营销破局利器
中小微企业,在商业浪潮中恰似逐浪扁舟,常面临营销成本高、推广渠道窄、专业人才缺等 “暗礁”,而智享 AI 自动无人直播系统恰如精准导航的灯塔,助其破浪前行、突出重围。 成本维度,传统直播人力成本让中小微企业望而却…...
接口测试工具:reqable
背景 在众多接口测试工具中挑选出一个比较好用的接口测试工具。使用过很多工具,如Postman、Apifox、ApiPost等,基本上是同类产品,一般主要使用到的功能就是API接口和cURL,其他的功能目前还暂未使用到。 对比 性能方面ÿ…...
同时多平台git配置:GitHub和Gitee生成不同的SSH Key
文章目录 GitHub和Gitee生成不同的SSH Key步骤1:生成SSH Key步骤2:配置SSH配置文件步骤3:查看SSH公钥步骤4:将SSH公钥添加到GitHub和Gitee步骤5:测试SSH连接步骤6:添加remote远程库 GitHub和Gitee生成不同的…...
刷题计划day24 回溯(三)【复原 IP 地址】【子集】【子集 II】
⚡刷题计划day24 回溯(三)继续,回溯一共会有五个专题,敬请期待关注,可以点个免费的赞哦~ 往期可看专栏,关注不迷路, 您的支持是我的最大动力🌹~ 目录 题目一:复原 IP…...
从“找三角形”讲“等腰三角形”
【题目】 周长为11,且各边长均为整数的三角形有哪些? 【答案】 四种,边长分别为: 2 4 5 3 3 5 1 5 5 3 4 4 【解析】 讲解等腰三角形的概念时,传统方法一般向学生展示一个等腰三角形的实物模型,这…...
Java中的泛型方法和泛型类
在Java编程语言中,泛型(Generics)是一个强大的特性,它使得类、接口和方法能够灵活地操作各种数据类型,同时保持类型安全。泛型主要通过类型参数(Type Parameters)来实现,这些类型参数…...
springboot学习-spring-boot-data-jdbc分页/排序/多表查询的例子
上次使用的是JdbcTemplate实现的,是比较老的方式,重新用spring boot data jdbc和jdbc client 实现一遍。也比较一下这几种的编码差异。数据库方面JAVA给了太多选择,反而不好选了。 上次就试图直接用: public interface UserRepo…...
通信与网络基础
1.网络通信基本概念 通信:人、物通过某种介质和行为进行信息传递与交流 网络通信:终端设备之间通过计算机网络进行通信 两个终端通过网线传递文件 多个终端通过路由器传递文件 终端通过Internet下载文件 2.信息传递过程 图1-1 假定A计算机访问B的web…...
【3.存储系统】综合大题
【考点】存储系统综合大题 【2011年408真题】某计算机存储器按字节编址,虚拟(逻辑)地址空间大小为16 MB,主存(物理)地址空间大小为1 MB,页面大小为4 KB;Cache采用直接映射方式,共8行;主存与Cache之间交换的…...
【Linux】【字符设备驱动】深入解析
Linux字符设备驱动程序用于控制不支持随机访问的硬件设备,如串行端口、打印机、调制解调器等。这类设备通常以字符流的形式与用户空间程序进行交互。本节将深入探讨字符设备驱动的设计原理、实现细节及其与内核其他组件的交互。 1. 引言 字符设备驱动程序是Linux内…...
【JavaEE】多线程(2)
一、线程安全 1.1 线程安全的概念 线程是随机调度执行的,如果多线程环境下的程序运行的结果符合我们预期则说明线程安全,反之,如果遇到其他结果甚至引起了bug则说明线程不安全 1.2 经典例子与解释 下面举一个经典的线程不安全的例子&…...
mac下Gpt Chrome升级成GptBrowser书签和保存的密码恢复
cd /Users/自己的用户名/Library/Application\ Support/ 目录下有 GPT\ Chrome/ Google/ GptBrowser/ GPT\ Chrome 为原来的chrome浏览器的文件存储目录. GptBrowser 为升级后chrome浏览器存储目录 书签所在的文件 Bookmarks 登录账号Login 相关的文件 拷贝到GptBrow…...
使用Grafana K6来测测你的系统负载能力
背景 近期我们有个号称会有很高很高并发的系统要上线,为了测试一下自己开发的系统的负载能力,准备了点海克斯科技,来看看抗不抗的住。 之前笔者写过用Apache JMeter进行压力测试的文章(传送门👉:https://…...
conda相比python好处
Conda 作为 Python 的环境和包管理工具,相比原生 Python 生态(如 pip 虚拟环境)有许多独特优势,尤其在多项目管理、依赖处理和跨平台兼容性等方面表现更优。以下是 Conda 的核心好处: 一、一站式环境管理:…...
基于ASP.NET+ SQL Server实现(Web)医院信息管理系统
医院信息管理系统 1. 课程设计内容 在 visual studio 2017 平台上,开发一个“医院信息管理系统”Web 程序。 2. 课程设计目的 综合运用 c#.net 知识,在 vs 2017 平台上,进行 ASP.NET 应用程序和简易网站的开发;初步熟悉开发一…...
DBAPI如何优雅的获取单条数据
API如何优雅的获取单条数据 案例一 对于查询类API,查询的是单条数据,比如根据主键ID查询用户信息,sql如下: select id, name, age from user where id #{id}API默认返回的数据格式是多条的,如下: {&qu…...
C++ 求圆面积的程序(Program to find area of a circle)
给定半径r,求圆的面积。圆的面积应精确到小数点后5位。 例子: 输入:r 5 输出:78.53982 解释:由于面积 PI * r * r 3.14159265358979323846 * 5 * 5 78.53982,因为我们只保留小数点后 5 位数字。 输…...
MySQL中【正则表达式】用法
MySQL 中正则表达式通过 REGEXP 或 RLIKE 操作符实现(两者等价),用于在 WHERE 子句中进行复杂的字符串模式匹配。以下是核心用法和示例: 一、基础语法 SELECT column_name FROM table_name WHERE column_name REGEXP pattern; …...
高防服务器能够抵御哪些网络攻击呢?
高防服务器作为一种有着高度防御能力的服务器,可以帮助网站应对分布式拒绝服务攻击,有效识别和清理一些恶意的网络流量,为用户提供安全且稳定的网络环境,那么,高防服务器一般都可以抵御哪些网络攻击呢?下面…...
力扣-35.搜索插入位置
题目描述 给定一个排序数组和一个目标值,在数组中找到目标值,并返回其索引。如果目标值不存在于数组中,返回它将会被按顺序插入的位置。 请必须使用时间复杂度为 O(log n) 的算法。 class Solution {public int searchInsert(int[] nums, …...
docker 部署发现spring.profiles.active 问题
报错: org.springframework.boot.context.config.InvalidConfigDataPropertyException: Property spring.profiles.active imported from location class path resource [application-test.yml] is invalid in a profile specific resource [origin: class path re…...
视频行为标注工具BehaviLabel(源码+使用介绍+Windows.Exe版本)
前言: 最近在做行为检测相关的模型,用的是时空图卷积网络(STGCN),但原有kinetic-400数据集数据质量较低,需要进行细粒度的标注,同时粗略搜了下已有开源工具基本都集中于图像分割这块,…...
怎么让Comfyui导出的图像不包含工作流信息,
为了数据安全,让Comfyui导出的图像不包含工作流信息,导出的图像就不会拖到comfyui中加载出来工作流。 ComfyUI的目录下node.py 直接移除 pnginfo(推荐) 在 save_images 方法中,删除或注释掉所有与 metadata …...