2019 年 8月 9 日随笔档案 - 7hang

2019年8月9日

摘要：审计工具 https://github.com/momosecurity/momo-code-sec-inspector-java ysoserial相关参考文章 https://xz.aliyun.com/t/7157 ysoserial URLDNS | CommonsCollections1- 阅读全文

posted @ 2019-08-09 15:30 7hang 阅读(698) 评论(0) 推荐(0) 编辑

应用安全 - 代码审计 - JavaScript

摘要： JavaScript Prototype污染阅读全文

posted @ 2019-08-09 15:28 7hang 阅读(503) 评论(0) 推荐(0) 编辑

Python

摘要： Django任意代码执行漏洞 https://www.freebuf.com/vuls/77591.html flask客户端session导致敏感信息泄露 flask验证码绕过漏洞 CodeIgniter 2.1.4 session伪造及对象注入漏洞沙箱逃逸 Python http.server 阅读全文

posted @ 2019-08-09 15:27 7hang 阅读(314) 评论(0) 推荐(0) 编辑

.net

摘要：反序列化 https://github.com/Ivan1ee/NetDeserializeTool 阅读全文

posted @ 2019-08-09 15:26 7hang 阅读(249) 评论(0) 推荐(0) 编辑

编码表/转义字符/进制转换

摘要： ASCII HTML转义字符 HTML转义字符字符分类 URL元字符分号（;），逗号（’,’），斜杠（/），问号（?），冒号（:），at（@），&，等号（=），加号（+），美元符号（$），井号（#）语义字符 a-z，A-Z，0-9，连词号（-），下划线（_），点（.），感叹号（!），波浪线（~ 阅读全文

posted @ 2019-08-09 15:18 7hang 阅读(2673) 评论(0) 推荐(0) 编辑

PHP代码审计

摘要：代码审计辅助工具 https://github.com/WhaleShark-Team/cobra https://github.com/LoRexxar/Kunlun-M 变量覆盖 extract()import_request_variables()parse_str()mb_parse_str 阅读全文

posted @ 2019-08-09 11:03 7hang 阅读(423) 评论(0) 推荐(0) 编辑

文件上传

摘要： CVE PHPCMS9.6.0 富文本编辑器 - FCK 常见文件处理函数 JavaScript indexOf() lastIndexOf() PHP include() include_once() require() require_once() file_exists() is_file() 阅读全文

posted @ 2019-08-09 10:27 7hang 阅读(575) 评论(0) 推荐(1) 编辑

ssrf

摘要：场景（1）能够对外发起网络请求的地方（2）请求远程服务器资源的地方（3）数据库内置功能（4）邮件系统（5）文件处理（6）在线处理工具在线识图，在线文档翻译，分享，订阅等根据远程URL上传，静态资源图片等数据库的比如mongodb的copyDatabase函数邮件系统就是接收邮件服阅读全文

posted @ 2019-08-09 09:36 7hang 阅读(478) 评论(0) 推荐(0) 编辑

中间人

摘要： SSL 检查外网网站是否安装SSL协议以及SSV版本 wosign.ssllabs.com SSL密码嗅探 sslstrip "# echo 1 > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A PREROUTING -p tcp --dest 阅读全文

posted @ 2019-08-09 09:28 7hang 阅读(526) 评论(0) 推荐(0) 编辑

病毒

摘要：冲击波 ( Worm.Blaster ) 【病毒类型】蠕虫病毒【依赖系统】 WINDOWS 2000/XP 【传播途径】网络/RPC漏洞【病毒症状】 "冲击波"病毒Worm.msBlast是第一个利用RPC漏洞进行攻击和传染的病毒！漏洞存在于Windows NT、Windows 2000、Win 阅读全文

posted @ 2019-08-09 09:12 7hang 阅读(509) 评论(0) 推荐(0) 编辑

文件处理工具

摘要： winhex 16进制文件查看器hex Editor 、 Heap Spray 二进制文件查看器文件类型分析 FileAnalyze http://www.skycn.com/soft/appid/33431.html 阅读全文

posted @ 2019-08-09 08:42 7hang 阅读(221) 评论(0) 推荐(0) 编辑

微信小程序

摘要： JSonp 溯源 https://github.com/Imanfeng/JsonpFinder 抓包 https://blog.csdn.net/u012206617/article/details/107366841 微信安装包（mac） https://developer8.baidupan. 阅读全文

posted @ 2019-08-09 08:40 7hang 阅读(441) 评论(0) 推荐(0) 编辑

7hang.

网络安全爱好者，blog is just for notes.

公告