m0_37570494的博客

再这个界面需要增加appscan的证书，如果是下面状态证明证书已经添加了，如果未加证书系统会提示添加证书：

2、安装python3，具体安装网上很多；

环境安装随便在网上找了个Pentester的靶场，结果是2013年的，那就从2013年的这个靶场开始学习下载镜像的地址：https://pentesterlab.com/exercises/web_for_pentester_II/iso正常找个虚拟机，进行iso的安装安装完成后，查下虚拟机的IP,直接访问即可http://192.168.29.129/sql注入Example 1万能密码：自己尝试了几个密码，筛选出了这几个通关的，亲试可用：admin'or 1=

burpsuit抓包，改包工具，可以通过修改所抓取的url请求信息，来达到sql注入的目的：1、选择要盲注的url进行burp抓包：2、注入的内容用ASCII（）函数进行转换成对应的ASCII值，才能进行此处的数字破解，类型为numebers，0-127范围内，步长为1，此为burpsuit里面一个模块，用于密码破解使用：3、不断修改substr（）函数中数字位置，执行burp的attack，观察结果不一样的地方，此时ascii值为100，找到对应的值，也就是，当找到密码时，此处请求返.

sqlmap的用户手册：sqlmap是python2进行运行的，如果要直接使用，需要把sqlmap设置到环境变量中：sqlmap主要用于sql注入方面的异常检测Mysql数据库1、先检测是否可以注入,先判断是否可以正常注入：sqlmap -u url -v 3里面有个注意的点url后面必须是可注入的参数?id=之类的，否则url检测会有问题对于某些今天url可以在/a/b*.html尝试加入*号来进行此路径内的检测2、爆库sqlmap.py -u http://...

1、之前在网上搜了好多，发现什么虚拟机切换网桥模式连接，一试之下发现，kali的IP就消失了，经过尝试后发现此方法可以适用：1. 一、配置SSH参数修改sshd_config文件，命令为：vi /etc/ssh/sshd_config将#PasswordAuthentication no的注释去掉，并且将NO修改为YES //kali中默认是yes2.将PermitRootLogin without-password修改为PermitRootLogin yes...

1、配置代理端口在https里面配置可允许抓取https的信任证书操作，在actions里面选择第一个：在tools的options里面，设置代理端口号2、在对应浏览器配置代理后，可以通过filters进行过滤，所要抓的请求3、对请求进行操作1、打断点，在fillder的最下方切换模式，进行断点，即在页面的请求，在此处就被拦截：选择任意接口，在下方标记T，访问对应接口，fiddler会自动抓取对应接口数据在inspectors里面webfo

腾讯安全应急响应中心——TSRC——腾讯安全应急响应中心阿里安全应急响应中心——ASRC——https://security.alibaba.com百度安全应急响应中心——BSRC——百度安全应急响应中心京东安全应急响应中心——JSRC——京东安全应急响应中心蚂蚁金服安全应急响应中心——AFSRC——https://security.alipay.com/联想安全应急响应中心——LSRC——https://lsrc.vulbox.com/小米安全中心——MSRC——https://sec.xia