RD_Checklist DocumentationV2.2

Knownsec Team

2014 03 11

Contents

1 1

2 32.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.9 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

3 93.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.3 Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153.5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193.6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203.7 1,2,3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

4 21

5 23

6 256.1 2.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256.2 2.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256.3 <=2.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

7 Indices and tables 27

i

ii

CHAPTER 1

•

• Tip

• Geek

•

• v2.2

1

RD_Checklist Documentation, V2.2

2 Chapter 1.

CHAPTER 2

2.1

•

•

• –

2.2

•

• –

– *

* QQ

*

•

• –

–

2.3

•

•

•

•

2.4

•

3

RD_Checklist Documentation, V2.2

•

• /RSS

–

•

2.5

• – BT

–

•

• –

– *

• –

–

• –

– http://www.wapm.cn/smart-questions/smart-questions-zh.html

• –

– //

–

–

• –

– *

*

*

*

* /

*

• –

–

– *

2.6

•

•

•

4 Chapter 2.

RD_Checklist Documentation, V2.2

2.7

2.7.1 POC

1. Web

2. Python

3. HTTP

• HTTP

• HTTP

4.

5. •

•

6. •

•

7.

2.8

2.8.1 SQL

• SQL“”

• SQL

– MySQL

– MSSQL

– Oracle

– PostgreSQL

– Access

– SQLite

– ...

• – sqlmap

– ...

• –

– Paper

– /

–

• N

•

2.7. 5

RD_Checklist Documentation, V2.2

2.9

2.9.1

•

•

• “”

2.9.2

• –

• –

•

•

•

•

•

•

•

•

•

•

•

•

IT

2.9.3

•

•

• 2

•

6 Chapter 2.

RD_Checklist Documentation, V2.2

2.9.4

• Rework

– 37signals

• 45

2.9.5

•

•

2.9.6

•

•

•

2.9.7 ...

2.9. 7

RD_Checklist Documentation, V2.2

8 Chapter 2.

CHAPTER 3

3.1

•

•

3.2

3.2.1 HTTP

• Firefox

– Firebug/Firecookie

*

– Tamper Data

*

– Live HTTP Headers

*

– HackBar

* /POST

– Modify Headers

–

• Fiddler

–

–

–

–

–

–

9

RD_Checklist Documentation, V2.2

– * Watcher

1. Web

• Wireshark

–

• tcpdump

– Wireshark

• Python

– urllib2

* 1. urllib2do_openh.set_debuglevel

2. h.set_debuglevel(1)HTTPS

3.2.2

• 302

– <?php header(“Location: 3.php”); ?>

• 301

– <?php header(“HTTP/1.1 301 Moved Permanently”); header(“Location: 2.php”); ?>

• u = urllib2.urlopen(url)u.url

– urllib2

–

• <meta http-equiv=”refresh” content=”0; url=http://www.evilcos.me” />

– htmlparse

• location.href = “http://evilcos.me”;

– JS

3.2.3 Python

• PythonCodingRule.pdf

10 Chapter 3.

RD_Checklist Documentation, V2.2

Python2

• 4 Python

–

• 6.8 Unicode

–

• 8.11 iter()

–

• 9

–

• 10

–

• 11

–

• 12

–

• 14

–

• 15

–

• 18

–

• 20.2 PythonWebWeb

–

3.2.4 Office

• Word

• Excel

• PPTPPTGoogle...

• – yEd

– Visio

– Freemind

*

– Sphinx

* reStructuredText

3.2. 11

RD_Checklist Documentation, V2.2

3.2.5 Vim

• 3http://coolshell.cn/articles/5426.html

3.2.6

•

•

3.2.7

• – Kodos

– RegexBuddy

*

*

– http://www.regexper.com/

*

• 30http://deerchao.net/tutorials/regex/regex.htm

• http://wiki.ubuntu.org.cn/Python

• regex/regularexpressions.pptx

• regex/.txt

3.2.8

• -> -> -> -> -> -> /

•

•

• Bugs

• –

• Bugs

• – *

–

– Python

12 Chapter 3.

RD_Checklist Documentation, V2.2

* import pdb;pdb.set_trace()

* h

– print

•

•

• v1v1v1

• Wiki

3.2.9

• http://code.google.com/p/goagent/

• SSH

– http://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/index.html

– * ssh -L <local port>:<remote host>:<remote port> <SSH hostname>

– *

* ssh -R <local port>:<remote host>:<remote port> <SSH hostname>

– * ssh -D <local port> <SSH Server>

3.3 Web

3.3.1 Web

8+1:)

3.3. Web 13

RD_Checklist Documentation, V2.2

• –

–

– http://www.zoomeye.org

•

3.3.2

•

•

•

3.3.3 Web

• OWASP

• WASC

• Wiki

14 Chapter 3.

RD_Checklist Documentation, V2.2

3.3.4

XSS

• ks-xsslab_open

– * XSS

* CSRF

* ClickJacking

• http://xss-quiz.int21h.jp/

– xss/xss_quiz.txt

SQL

• https://github.com/Audi-1/sqli-labs

– SQLI-LABS is a platform to learn SQLI

500WSL

/BT5/Kali

•

3.3.5

• Web

• Web

• Web

– xisigr

• SQL

3.3.6 Papers

• http://www.exploit-db.com/papers/

• blackhat/defcon/Papers

3.4

3.4.1

• pip

• Vagrant

• tmux/screen

3.4. 15

RD_Checklist Documentation, V2.2

• Vim

• zsh + oh-my-zsh

• Python2.7

• >Django1.4

– http://djangobook.py3k.cn/2.0/

• web.py

• node.js

• Ubuntu/Gentoo/CentOS

• IPython

• – Git/SVN

– GitLab

• Nginx + uWSGI

3.4.2 Python

• –

– Python. . . . . .

3.4.3 Linux

• – Bash.pdf

– Bash.pdf

• bash.txt

• screen.pdf

• crontab.pdf

3.4.4

• JavaScript DOM

DOM

•

16 Chapter 3.

RD_Checklist Documentation, V2.2

• jQuery

–

–

• ECharts

–

• Google API

• ZoomEye Map

– ZoomEye

• AngularJS

– Google

• Bootstrap

–

3.4.5

• –

• – wget/curl

– urllib2/httplib2/requests

– scrapy

• – pytesser

3.4.6

• crontab

• Redis

• RPyC

• Celery/Gearman

3.4.7

• –

• –

• – os.fork

– multiprocessing

3.4. 17

RD_Checklist Documentation, V2.2

3.4.8

• JSON

• cPickle

• protobuf

3.4.9

• MySQL

• MongoDB

• Cassandra

• Hadoop

• Redis

• SQLite

• bsddb

3.4.10 DevOps

• SSH

• Fabric

• SaltStack

• Puppet

• pssh/dsh

3.4.11

• pdb

• logging

• Sentry

• strace/ltrace

• lsof

• – Python

* timeit

* cProfile

* Pythonhttp://www.oschina.net/translate/python-performance-analysis

– Python

* top/htop/free/iostat/vmstat/ifconfig/iftop...

18 Chapter 3.

RD_Checklist Documentation, V2.2

3.4.12

•

• – algorithm/.txt

•

•

• /

• ...

3.4.13

• – nose

• Jenkins

3.4.14

• Trello

•

•

3.5

•

•

• – .pptx

–

–

–

– *

* LRU

– *

*

– * CPU

*

*

– /

* run it

* “run it”

* “run it”

3.5. 19

RD_Checklist Documentation, V2.2

* “run it”V1

– *

3.6

• http://zhuanlan.zhihu.com/Weekly

• http://weekly.manong.io/

• Pycoder’s Weeklyhttp://pycoders.com/archive/

• Hacker Newshttps://news.ycombinator.com/

• Startup Newshttp://news.dbanotes.net/

• http://geek.csdn.net/

• InfoQhttp://www.infoq.com/cn

• Stack Overflowhttp://stackoverflow.com/

• GitHubhttps://github.com/

• FreeBufhttp://www.freebuf.com/

• WooYunhttp://drops.wooyun.org/

3.7 1,2,3

• 1

• 2hack idea

• 3

20 Chapter 3.

CHAPTER 4

• by

• by

• by Knownsec Team

21

RD_Checklist Documentation, V2.2

22 Chapter 4.

CHAPTER 5

;-)

23

RD_Checklist Documentation, V2.2

24 Chapter 5.

CHAPTER 6

6.1 2.2

2014-03-09

• DevOps

• -

• - 1,2,3

• -

• -

• - 7

• -

•

• Python

•

• FreeMind

•

6.2 2.1

2013-04-22

•

• Sphinx

6.3 <=2.0

2012-12-01

•

25

RD_Checklist Documentation, V2.2

26 Chapter 6.

CHAPTER 7

Indices and tables

• genindex

• modindex

• search

27