最新消息:

WEB安全

【转载】继续怼i春秋安全防护——微信端测试

【转载】继续怼i春秋安全防护——微信端测试

Eternal 2天前 106浏览 0评论

声明,所有演示均为真实环境可实际操作,仅供学习参考和讨论,请勿自行实施攻击,本人不承担任何法律责任。 今年上半年,我花了几个月时间深入测试了各类微信第三方服务(公众号、企业号、小程序),发现的数据漏洞很多,甚至触目惊心。虽然网络安全法出台了,但是企业...

使用深度学习检测DGA(域名生成算法)

使用深度学习检测DGA(域名生成算法)

Eternal 1周前 (07-13) 284浏览 0评论

DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段。例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果我们的进程尝试其它建立连接,那么我们的机器就可能感染Cr...

挖洞姿势:浅析命令注入漏洞

挖洞姿势:浅析命令注入漏洞

Eternal 2周前 (07-11) 432浏览 0评论

命令注入是一种常见的漏洞形态。一旦存在命令注入漏洞,攻击者就可以在目标系统执行任意命令。说到这里,我们不得不提另外一个叫做远程代码执行(RCE)的漏洞。许多人总会把这两个漏洞混淆,其实它们是有本质的区别的。命令执行只是针对系统命令,而远程代码执行针对...

我是如何找一个影响数千职业网站的持续型XSS的

我是如何找一个影响数千职业网站的持续型XSS的

Eternal 2周前 (07-09) 424浏览 0评论

我们Detectify Crowdsource平台的安全研究员ak1t4最近在他的个人博客中向我们解释了,关于他是如何发现并报告了Teamtailor上一个影响数千职业网站的持续型XSS漏洞的过程,其中也包括了我们Detectify的职业网站。在提交...

MySQL False注入及技巧总结

MySQL False注入及技巧总结

Eternal 3个月前 (05-05) 713浏览 0评论

0x01 False Injection 引子 首先我们常见的注入 1=1 0<1 ''='' 这些都是基于1=1这样的值得比较的普通注入,下面来说说关于False注入,利用False我们可以绕过一些特定的WAF以及一些未来不确定的因素,...

SQL注入防御与绕过的几种姿势

SQL注入防御与绕过的几种姿势

Eternal 3个月前 (05-04) 940浏览 0评论

前言 本文章主要以后端PHP和MySQL数据库为例,参考了多篇文章后的集合性文章,欢迎大家提出个人见解,互促成长。 一、 PHP几种防御姿势 1、关闭错误提示 说明: PHP配置文件php.ini中的display_errors=Off,这样就...

Chrome浏览器上显示绿色标识,你就安全了吗?

Chrome浏览器上显示绿色标识,你就安全了吗?

Eternal 4个月前 (04-02) 782浏览 0评论

据相关数据显示,在网络上有超过50%的用户使用的浏览器为Chrome浏览器。而长期使用Chrome浏览器的用户其实都不难发现,每当你访问使用SSL(也称为HTTPS或TLS)的网站时,在URL地址栏的HTTPS旁就会显示醒目的绿色“安全标识”。那么C...

SQLMAP详解+实战操作命令

SQLMAP详解+实战操作命令

Mat 4个月前 (03-24) 1492浏览 0评论

SQLMAP是一款基于python开发的SQL注入工具,几乎支持现在所有的数据库,功能非常强大。由于是国外的产品,所以对于我这种英语水平不高的菜鸟来说,使用起来会有点困难。虽然现在已经能熟练使用大部分功能了,但还是把中文解释贴过来,方便以后使用。 O...

我是如何从一个xss到某某浏览器的远程命令执行

我是如何从一个xss到某某浏览器的远程命令执行

Mat 4个月前 (03-22) 95459浏览 0评论

0x01 前言:其实我是个小白平时就喜欢瞎搞,无意间碰到一个浏览器就想一探究竟,好了废话不多说开始!!! 0x02 可以看到我打开的新标签是怎么一个链接页面,既然是页面我是不可以XSS它呢? 于是我就打开了控制器输入XSS代码如下图: 输入pay...

合作伙伴