最新消息:

WEB安全

挖洞姿势:浅析命令注入漏洞

挖洞姿势:浅析命令注入漏洞

Eternal 7年前 (2017-07-11) 11670浏览 1评论

命令注入是一种常见的漏洞形态。一旦存在命令注入漏洞,攻击者就可以在目标系统执行任意命令。说到这里,我们不得不提另外一个叫做远程代码执行(RCE)的漏洞。许多人总会把这两个漏洞混淆,其实它们是有本质的区别的。命令执行只是针对系统命令,而远程代码执行针对...

我是如何找一个影响数千职业网站的持续型XSS的

我是如何找一个影响数千职业网站的持续型XSS的

Eternal 7年前 (2017-07-09) 29710浏览 0评论

我们Detectify Crowdsource平台的安全研究员ak1t4最近在他的个人博客中向我们解释了,关于他是如何发现并报告了Teamtailor上一个影响数千职业网站的持续型XSS漏洞的过程,其中也包括了我们Detectify的职业网站。在提交...

MySQL False注入及技巧总结

MySQL False注入及技巧总结

Eternal 7年前 (2017-05-05) 7652浏览 1评论

0x01 False Injection 引子 首先我们常见的注入 1=1 0<1 ''='' 这些都是基于1=1这样的值得比较的普通注入,下面来说说关于False注入,利用False我们可以绕过一些特定的WAF以及一些未来不确定的因素,...

SQL注入防御与绕过的几种姿势

SQL注入防御与绕过的几种姿势

Eternal 7年前 (2017-05-04) 17432浏览 1评论

前言 本文章主要以后端PHP和MySQL数据库为例,参考了多篇文章后的集合性文章,欢迎大家提出个人见解,互促成长。 一、 PHP几种防御姿势 1、关闭错误提示 说明: PHP配置文件php.ini中的display_errors=Off,这样就...

Chrome浏览器上显示绿色标识,你就安全了吗?

Chrome浏览器上显示绿色标识,你就安全了吗?

Eternal 7年前 (2017-04-02) 7316浏览 1评论

据相关数据显示,在网络上有超过50%的用户使用的浏览器为Chrome浏览器。而长期使用Chrome浏览器的用户其实都不难发现,每当你访问使用SSL(也称为HTTPS或TLS)的网站时,在URL地址栏的HTTPS旁就会显示醒目的绿色“安全标识”。那么C...

SQLMAP详解+实战操作命令

SQLMAP详解+实战操作命令

Mat 7年前 (2017-03-24) 20991浏览 1评论

SQLMAP是一款基于python开发的SQL注入工具,几乎支持现在所有的数据库,功能非常强大。由于是国外的产品,所以对于我这种英语水平不高的菜鸟来说,使用起来会有点困难。虽然现在已经能熟练使用大部分功能了,但还是把中文解释贴过来,方便以后使用。 O...

我是如何从一个xss到某某浏览器的远程命令执行

我是如何从一个xss到某某浏览器的远程命令执行

Mat 7年前 (2017-03-22) 103139浏览 0评论

0x01 前言:其实我是个小白平时就喜欢瞎搞,无意间碰到一个浏览器就想一探究竟,好了废话不多说开始!!! 0x02 可以看到我打开的新标签是怎么一个链接页面,既然是页面我是不可以XSS它呢? 于是我就打开了控制器输入XSS代码如下图: 输入pay...

浅谈HTTP协议

浅谈HTTP协议

Mat 7年前 (2017-03-20) 11769浏览 2评论

一、HTTP协议详解之URL篇 http(超文本传输协议)是一个基于请求与响应模式的、无状态的、应用层的协议,常基于TCP的连接方式,HTTP1.1版本中给出一种持续连接的机制,绝大多数的Web开发,都是构建在HTTP协议之上的Web应用。 HTTP...

一些不包含数字和字母的webshell

一些不包含数字和字母的webshell

Eternal 7年前 (2017-02-18) 4726浏览 1评论

在小密圈提了个问题,“如何编写一个不使用数字和字母的webshell”,并具体成如下代码: <?php if(!preg_match('/[a-z0-9]/is',$_GET['shell'])) { eval($_GET['shell...



合作伙伴