解析检查 —— 存储型XSS漏洞解决方案
admin 7年前 (2014-07-27) 1969浏览 0评论
博文作者:大马胖子 发布日期:2014-06-24 阅读次数:675 博文内容: TSRC编者按: Web2.0时 代,XSS漏洞不容小觑。特别是在UGC业务,支持“安全的”HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,...
admin 7年前 (2014-07-27) 1969浏览 0评论
博文作者:大马胖子 发布日期:2014-06-24 阅读次数:675 博文内容: TSRC编者按: Web2.0时 代,XSS漏洞不容小觑。特别是在UGC业务,支持“安全的”HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,...
admin 7年前 (2014-07-27) 1415浏览 0评论
1.问题来源概述 我们在日常的渗透工作中、或接单中通常需要通过客户提供的域名信息解析其公网地址, 这方面的工具很多(比如通过系统自带的nslookup命令或站长工具等)我就不再浪费篇章了。但是 由于目前网站加速技术的普遍应用(比如CDN加速),导致我...
admin 7年前 (2014-07-24) 4318浏览 0评论
博文作者:pandas 发布日期:2014-07-23 阅读次数:846 博文内容: 1 背景概述 WEB应用漏洞导致的入侵时有发生,扫描器和WAF并不能解决所有的问题,于是尝试在主机侧针对PHP环境做了一个防御方案。很荣幸...
admin 7年前 (2014-07-24) 1932浏览 0评论
web渗透者习惯采用黑盒或灰盒的方面来检测一款web应用是否存在漏洞,这种检测方法可以屏蔽不少漏洞,特别是程序逻辑中的漏洞。但如果能配合白盒的源码审计(也可以叫漏洞挖掘),效果将会更好,当然人力成本也会增加,其中,对于源码审计工作将交给谁做,是比较...
admin 7年前 (2014-07-24) 1338浏览 0评论
文章来自@pnig0s 开启NFS mounts/shares是一件很美妙的事情,我们来说说有时候会发现的“宝贝”。 很多企业和组织不止一次的使用不正确的权限配置将everyone’s 的home目录备份到NFS的共...
admin 7年前 (2014-07-23) 1492浏览 0评论
This blog post explains the process that we followed in a recent penetration test to gain command execution from a CVS import...
admin 7年前 (2014-07-23) 1411浏览 0评论
这个工具针对微软漏洞数据库比较了目标补丁级别,以便及时发现潜在缺少补丁程序的目标。 它需要从一台Windows主机’的SystemInfo’命令输出,以便在比较Microsoft安全公告数据库,并确定主机补丁级别。 它能够自动...
admin 7年前 (2014-07-23) 2784浏览 0评论
先上图: 本来是不想搞站的,专心学点编程,可是老是有人来找我帮忙什么的。。。搞完这个我想专心学点编程,俗话说不会编程的黑客不算是高富帅。。。所以说,你懂得。 进入正题 主站摸索 旁站摸索 旁服摸索 不开玩笑了。。 嫖叔尝试过主站服务器了,但是...
admin 7年前 (2014-07-23) 1838浏览 0评论
打开/关闭apache服务 net start/stop wampapache 打开关闭mysql net start/stop wampmysqld ps:没有直接进行重启的命令,如果拿到webshell,修改了php配置文件php.ini后需要重...
admin 7年前 (2014-07-22) 1120浏览 0评论
这是以小编个人的角度 简单描述 :6月18日 91ri被黑的经过。本文其实挺早就写出来了,但是碍于一些事迟迟没发出来。发文的目的是为了让大家也注意到这种手段的攻击。 那是个美好的下午,小编正在奋笔疾书,终于写完了最后一笔,交了考卷走出了考场,心中无比...
admin 7年前 (2014-07-18) 1400浏览 0评论
PESpin is a Windows executable files (EXE, DLL) protector, compressor coded in pure assembly using MASM. It allows compressio...
admin 7年前 (2014-07-17) 3146浏览 0评论
Author :Morker Blog : http://www.morker.net/ 前言: 今年五月份去广州与兄弟玩的时候,我们去打桌球,看见收银员妹子不错哦。然后我就想试着能拿到QQ号码不。所以我...
admin 7年前 (2014-07-15) 1924浏览 0评论
0×01,背景: Moodle(Open-source Learning Platform)是一个开源及自由的电子学习软件平台,是当前全球使用量最大的开源在线教育学习平台。它有一个很有分量的用户群体:根据其2010年1 月的统计,现时有45,721个...
admin 7年前 (2014-07-15) 2636浏览 2评论
0×01,背景: Moodle(Open-source Learning Platform)是一个开源及自由的电子学习软件平台,是当前全球使用量最大的开源在线教育学习平台。它有一个很有分量的用户群体:根据其2010年1 月的统计,现时有45,721个...
admin 7年前 (2014-07-11) 1323浏览 0评论
共享权限与windows xp内置的Windows防火墙,两者的关系可谓是非同一般。xp系统防火墙中的设置决定了局域网中其它计算机是否能连接、或是否能看到彼此。 在“运行”栏中使用命令“Firewall.cpl”打开“Windows防火墙”窗口后,单...
admin 7年前 (2014-07-10) 9330浏览 0评论
0x01 下午在群里看到的 问下朋友大概 然后用不生不熟的sqlmap在那跑 – 表能跑的出 列就GG了 然后没辙 – 晚上跑各大论坛逛了遍果然大神多 就慢慢的研究下了下 看了pt0n大牛的分析文 真心感叹这洞 呵呵-。- 0...
admin 7年前 (2014-07-09) 1886浏览 0评论
简要描述: 某XSS平台存在缺陷,导致可登陆他人账号,各种各样的后台碎了一地,这样别人都为我钓鱼,我吃鱼就好了,哈哈!!卑鄙、下流、无耻已经无法形容我了,呵呵! xss太暴力、太血腥了,看了很多账号,真尼玛什么人才都有啊,插的是惊天地、泣鬼神,真是什...
admin 7年前 (2014-07-09) 11981浏览 1评论
0×00 前言 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题. 在XML1.0标准⾥里,XML文档结构⾥里定义了实体(e...
admin 7年前 (2014-07-08) 1625浏览 1评论
本文隐藏内容 登陆 后才可以浏览 转载请注明:jinglingshu的博客 » Web 前端攻防 2014...
admin 7年前 (2014-07-06) 1083浏览 0评论
一、前言 安全狗是一款大家熟悉的服务器安全加固产品,据称已经拥有50W的用户量。最近经过一些研究,发现安全狗的一些防护功能,例如SQL注入、文件上传、防webshell等都可以被绕过,下面为大家一一介绍。 二、测试环境 本次测试环境为 中文版Win2...