rd checklist documentationrd_checklist documentation, v2.2 – * watcher 1.web •wireshark –...
TRANSCRIPT
RD_Checklist DocumentationV2.2
Knownsec Team
2014 03 11
Contents
1 1
2 32.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3 93.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.3 Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193.6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203.7 1,2,3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4 21
5 23
6 256.1 2.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256.2 2.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256.3 <=2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
7 Indices and tables 27
i
ii
CHAPTER 1
•
• Tip
• Geek
•
• v2.2
1
RD_Checklist Documentation, V2.2
2 Chapter 1.
CHAPTER 2
2.1
•
•
• –
2.2
•
• –
– *
*
•
• –
–
2.3
•
•
•
•
2.4
•
3
RD_Checklist Documentation, V2.2
•
• /RSS
–
•
2.5
• – BT
–
•
• –
– *
• –
–
• –
– http://www.wapm.cn/smart-questions/smart-questions-zh.html
• –
– //
–
–
• –
– *
*
*
*
* /
*
• –
–
– *
2.6
•
•
•
4 Chapter 2.
RD_Checklist Documentation, V2.2
2.7
2.7.1 POC
1. Web
2. Python
3. HTTP
• HTTP
• HTTP
4.
5. •
•
6. •
•
7.
2.8
2.8.1 SQL
• SQL“”
• SQL
– MySQL
– MSSQL
– Oracle
– PostgreSQL
– Access
– SQLite
– ...
• – sqlmap
– ...
• –
– Paper
– /
–
• N
•
2.7. 5
RD_Checklist Documentation, V2.2
2.9
2.9.1
•
•
• “”
2.9.2
• –
• –
•
•
•
•
•
•
•
•
•
•
•
•
IT
2.9.3
•
•
• 2
•
6 Chapter 2.
RD_Checklist Documentation, V2.2
2.9.4
• Rework
– 37signals
• 45
2.9.5
•
•
2.9.6
•
•
•
2.9.7 ...
2.9. 7
RD_Checklist Documentation, V2.2
8 Chapter 2.
CHAPTER 3
3.1
•
•
3.2
3.2.1 HTTP
• Firefox
– Firebug/Firecookie
*
– Tamper Data
*
– Live HTTP Headers
*
– HackBar
* /POST
– Modify Headers
–
• Fiddler
–
–
–
–
–
–
9
RD_Checklist Documentation, V2.2
– * Watcher
1. Web
• Wireshark
–
• tcpdump
– Wireshark
• Python
– urllib2
* 1. urllib2do_openh.set_debuglevel
2. h.set_debuglevel(1)HTTPS
3.2.2
• 302
– <?php header(“Location: 3.php”); ?>
• 301
– <?php header(“HTTP/1.1 301 Moved Permanently”); header(“Location: 2.php”); ?>
• u = urllib2.urlopen(url)u.url
– urllib2
–
• <meta http-equiv=”refresh” content=”0; url=http://www.evilcos.me” />
– htmlparse
• location.href = “http://evilcos.me”;
– JS
3.2.3 Python
• PythonCodingRule.pdf
10 Chapter 3.
RD_Checklist Documentation, V2.2
Python2
• 4 Python
–
• 6.8 Unicode
–
• 8.11 iter()
–
• 9
–
• 10
–
• 11
–
• 12
–
• 14
–
• 15
–
• 18
–
• 20.2 PythonWebWeb
–
3.2.4 Office
• Word
• Excel
• PPTPPTGoogle...
• – yEd
– Visio
– Freemind
*
– Sphinx
* reStructuredText
3.2. 11
RD_Checklist Documentation, V2.2
3.2.5 Vim
• 3http://coolshell.cn/articles/5426.html
3.2.6
•
•
3.2.7
• – Kodos
– RegexBuddy
*
*
– http://www.regexper.com/
*
• 30http://deerchao.net/tutorials/regex/regex.htm
• http://wiki.ubuntu.org.cn/Python
• regex/regularexpressions.pptx
• regex/.txt
3.2.8
• -> -> -> -> -> -> /
•
•
• Bugs
• –
• Bugs
• – *
–
– Python
12 Chapter 3.
RD_Checklist Documentation, V2.2
* import pdb;pdb.set_trace()
* h
•
•
• v1v1v1
• Wiki
3.2.9
• http://code.google.com/p/goagent/
• SSH
– http://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/index.html
– * ssh -L <local port>:<remote host>:<remote port> <SSH hostname>
– *
* ssh -R <local port>:<remote host>:<remote port> <SSH hostname>
– * ssh -D <local port> <SSH Server>
3.3 Web
3.3.1 Web
8+1:)
3.3. Web 13
RD_Checklist Documentation, V2.2
• –
–
– http://www.zoomeye.org
•
3.3.2
•
•
•
3.3.3 Web
• OWASP
• WASC
• Wiki
14 Chapter 3.
RD_Checklist Documentation, V2.2
3.3.4
XSS
• ks-xsslab_open
– * XSS
* CSRF
* ClickJacking
• http://xss-quiz.int21h.jp/
– xss/xss_quiz.txt
SQL
• https://github.com/Audi-1/sqli-labs
– SQLI-LABS is a platform to learn SQLI
500WSL
/BT5/Kali
•
3.3.5
• Web
• Web
• Web
– xisigr
• SQL
3.3.6 Papers
• http://www.exploit-db.com/papers/
• blackhat/defcon/Papers
3.4
3.4.1
• pip
• Vagrant
• tmux/screen
3.4. 15
RD_Checklist Documentation, V2.2
• Vim
• zsh + oh-my-zsh
• Python2.7
• >Django1.4
– http://djangobook.py3k.cn/2.0/
• web.py
• node.js
• Ubuntu/Gentoo/CentOS
• IPython
• – Git/SVN
– GitLab
• Nginx + uWSGI
3.4.2 Python
• –
– Python. . . . . .
3.4.3 Linux
• – Bash.pdf
– Bash.pdf
• bash.txt
• screen.pdf
• crontab.pdf
3.4.4
• JavaScript DOM
DOM
•
16 Chapter 3.
RD_Checklist Documentation, V2.2
• jQuery
–
–
• ECharts
–
• Google API
• ZoomEye Map
– ZoomEye
• AngularJS
• Bootstrap
–
3.4.5
• –
• – wget/curl
– urllib2/httplib2/requests
– scrapy
• – pytesser
3.4.6
• crontab
• Redis
• RPyC
• Celery/Gearman
3.4.7
• –
• –
• – os.fork
– multiprocessing
3.4. 17
RD_Checklist Documentation, V2.2
3.4.8
• JSON
• cPickle
• protobuf
3.4.9
• MySQL
• MongoDB
• Cassandra
• Hadoop
• Redis
• SQLite
• bsddb
3.4.10 DevOps
• SSH
• Fabric
• SaltStack
• Puppet
• pssh/dsh
3.4.11
• pdb
• logging
• Sentry
• strace/ltrace
• lsof
• – Python
* timeit
* cProfile
* Pythonhttp://www.oschina.net/translate/python-performance-analysis
– Python
* top/htop/free/iostat/vmstat/ifconfig/iftop...
18 Chapter 3.
RD_Checklist Documentation, V2.2
3.4.12
•
• – algorithm/.txt
•
•
• /
• ...
3.4.13
• – nose
• Jenkins
3.4.14
• Trello
•
•
3.5
•
•
• – .pptx
–
–
–
– *
* LRU
– *
*
– * CPU
*
*
– /
* run it
* “run it”
* “run it”
3.5. 19
RD_Checklist Documentation, V2.2
* “run it”V1
– *
3.6
• http://zhuanlan.zhihu.com/Weekly
• http://weekly.manong.io/
• Pycoder’s Weeklyhttp://pycoders.com/archive/
• Hacker Newshttps://news.ycombinator.com/
• Startup Newshttp://news.dbanotes.net/
• http://geek.csdn.net/
• InfoQhttp://www.infoq.com/cn
• Stack Overflowhttp://stackoverflow.com/
• GitHubhttps://github.com/
• FreeBufhttp://www.freebuf.com/
• WooYunhttp://drops.wooyun.org/
3.7 1,2,3
• 1
• 2hack idea
• 3
20 Chapter 3.
CHAPTER 4
• by
• by
• by Knownsec Team
21
RD_Checklist Documentation, V2.2
22 Chapter 4.
CHAPTER 5
;-)
23
RD_Checklist Documentation, V2.2
24 Chapter 5.
CHAPTER 6
6.1 2.2
2014-03-09
• DevOps
• -
• - 1,2,3
• -
• -
• - 7
• -
•
• Python
•
• FreeMind
•
6.2 2.1
2013-04-22
•
• Sphinx
6.3 <=2.0
2012-12-01
•
25
RD_Checklist Documentation, V2.2
26 Chapter 6.
CHAPTER 7
Indices and tables
• genindex
• modindex
• search
27