最新消息:

2014年05月的内容

使用nginx搭建https服务器
安全知识

使用nginx搭建https服务器

admin 3年前 (2014-05-31) 699浏览 0评论

最近在研究nginx,整好遇到一个需求就是希望服务器与客户端之间传输内容是加密的,防止中间监听泄露信息,但是去证书服务商那边申请证书又不合算,因为访问服务器的都是内部人士,所以自己给自己颁发证书,忽略掉浏览器的不信任警报即可。下面是颁发证书和配置过程...

从美国起诉我5名军官一事,谈网络国防的不对称性
业界新闻

从美国起诉我5名军官一事,谈网络国防的不对称性

admin 3年前 (2014-05-31) 561浏览 0评论

5月19日,美方以所谓网络窃密为由宣布起诉5名中国军官。初悉此事,我感到极为惊讶。斯诺登事件余波未消,美国还未从窃听甚至包括盟国领导人在内的多国领导人的丑闻中摆脱出来,美国监听全世界的事实路人皆知,美国司法部门却跳出来起诉他国军方人员窃取美方信息,...

Gitlab 6.9.1 社区版发布
业界新闻

Gitlab 6.9.1 社区版发布

admin 3年前 (2014-05-30) 644浏览 0评论

GitLab是一个利用 Ruby on Rails 开发的开源应用程序,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。 它拥有与Github类似的功能,能够浏览源代码. 完全改进: v 6.9.1 - Fix ...

php时间戳与日期互转
PHP

php时间戳与日期互转

admin 3年前 (2014-05-29) 608浏览 0评论

日期与时间都是每个PHP程式员经常要用到的技术,特别是做查询类,日期查询更是要经常要用到. PHP时间大的来分有两种,一是时间戳类型(1228348800),二是正常日期格式(2008-12-4) 所以存到数据库也有两种形式了(真正不止,我的应用就两...

曲线救国打完美迂回战术——不算提权的提权
别人经典渗透过程学习

曲线救国打完美迂回战术——不算提权的提权

admin 3年前 (2014-05-28) 576浏览 0评论

刚才搞到一台机器,虽然没用多长时间,但是过程也还算比较精彩,就寻思着发出来给大家分享,由于没什么特殊的部分,文章也是成功之后才写的,截图就不上了(其实主要原因是排版插入图片太费事),读者请自行脑补截图。 描述事情经过之前先大概描述一下处境吧 目标机器...

5月微软补丁KB2871997和KB2928120分析
安全知识

5月微软补丁KB2871997和KB2928120分析

admin 3年前 (2014-05-28) 1470浏览 0评论

5 月,微软在13日发布月度安全更新,其中 有KB2871997和 KB2928120 两个知识库文章Knowledgeased(而KB2871997甚至不是Security Bulletin)。对于无论是作为攻击的渗透测试人员还是作为防守的管理员都...

360全国大学生信安技术大赛记录
别人经典渗透过程学习

360全国大学生信安技术大赛记录

admin 3年前 (2014-05-28) 672浏览 0评论

大赛进行了两天,大起大落有,丧失信心也有,但最后还是挺过来了。多亏了给力的队友,blink和test,最后拿到了西北赛区的第二名。     简单叙述一下整个过程吧,顺便记录一下平时没有注意的一些点。     第一天的比赛是CTF类型的,实话说我不擅长...

浅析白盒审计中的字符编码及SQL注入
MySQL注入

浅析白盒审计中的字符编码及SQL注入

admin 3年前 (2014-05-28) 1112浏览 1评论

尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考...

安全科普:Installing Burp’s CA Certificate
安全知识

安全科普:Installing Burp’s CA Certificate

admin 3年前 (2014-05-27) 1256浏览 0评论

burp suite代理https的时候,会使用服务器传过来的CA证书与服务器进行数据交互,而burp会把自己的证书数据传送给客户端(浏览器),而客户端 (浏览器)需要信任burp的证书,这样进行交互burp才能捕获到明文数据,如果你用burp做代理...

PHP——成也Web,败也Web
业界新闻

PHP——成也Web,败也Web

admin 3年前 (2014-05-26) 564浏览 0评论

七月的夏天 早年我并不知道Python写的Web应用是怎么部署的,总觉得像PHP、ASP一样,仅仅提供一个语言级别的执行模块,直接嵌入Web服务器运行,甚至于直接对外提供带扩展名的URL都是自然而然的事情。 前一阵学习了Python,总是如别人一样,...

漏洞检测工具常见漏洞及危害
工作

漏洞检测工具常见漏洞及危害

admin 3年前 (2014-05-26) 624浏览 0评论

一、漏洞类型说明 1、  高危漏洞 高危漏洞包括:SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。 SQL注入漏洞:网站程序忽略了对输入字符串中包含的SQL语...

HTTPS数据包抓取的可行性分析
业界新闻

HTTPS数据包抓取的可行性分析

admin 3年前 (2014-05-25) 1021浏览 0评论

相信只要是从事软件开发, 多多少少都会涉及到数据包的抓取。常见的有网页数据抓取(即网页爬虫),应用程序数据包抓取等。网页数据抓取比较简单, 在chrome下可以非常方便的分析网页结构和数据请求;而应用程序数据包的抓取则相对复杂些, 通常需要配置代理...

浅析白盒安全审计中的XSS Fliter
xss

浅析白盒安全审计中的XSS Fliter

admin 3年前 (2014-05-25) 761浏览 0评论

自己并不擅长xss,作为抛砖引玉的一篇总结文章,分享一下自己的见解,其实写出来感觉很惶恐。都是之前看M写的一些文章学到的姿势,在这里跪谢。 我这里的绕过侧重于白盒审计,所以不用各种测试测试很久,只用根据源码中的fliter规则写出合适的exp。 后端...