文章分类 - 前端安全
摘要:原文:https://github.com/cnnetarmy/uploadfile gayhub:https://github.com/cnnetarmy/uploadfile上传攻击总结 0x00 上传流程概述 一个文件以http协议上传的时候,将以post请求发送至web服务器。服务器接受并同
阅读全文
摘要:转载自:i春秋社区 原文:http://bbs.ichunqiu.com/thread-18414-1-1.html 0x01 什么是WAF Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应
阅读全文
摘要:摘自:91ri.org 工具:手工注入帮助系统 先抓个输入错误密码的包..把post的数据抓出来 这里这么填…注意把密码段改成字典的变量 然后看看返回信息 看我标蓝得这段是密码输错的时候返回的信息..就拿这段作为关键字 密码字典再设一下 点start就可以开始破了..
阅读全文
摘要:转载自:http://www.91ri.org/4413.html 上个星期我被邀请组队去参加一个由CSAW组织的CTF夺旗比赛.因为老婆孩子的缘故,我只能挑一个与Web漏洞利用相关的题目,名字叫做”HorceForce”.这道题价值300点。这道题大概的背景是,你拥有一个低权限的帐号并需要找到方法
阅读全文
摘要:转载自:http://www.freebuf.com/news/111421.html 在Black Hat 2016大会上,两名比利时的安全研究人员展示了他们今年的研究成果。他们发现了一个WEB攻击方式可以绕过HTTPS加密得到明文信息。他们把这种攻击方式叫做HEIST攻击。HEIST的全称是En
阅读全文
摘要:转载自:http://www.vuln.cn/8395 eval与assert都算是元老级一句话后门函数,其实很多情形下代码的执行还是需要依靠eval去执行,只是前锋路转了而已。 eval与assert函数的用法大家可以自行百度。 eval与assert区别 eval函数中参数是字符,如: eval
阅读全文
摘要:本文转载自:http://www.vuln.cn/2952 给大家从普通get请求上来剖析一些白帽或者白帽手段,你会发现干预一个普通get请求就能够达到很多目的,无论是好是坏。 当然以下内容不提倡大家用于非法用途。 百度蜘蛛的那些事 现在回想起那些年被奉为高大上职业的SEO,简直可笑,也是是角度不同
阅读全文
摘要:转载自:http://bobao.360.cn/learning/detail/3192.html 2016-11-16 14:03:02 来源:安全客 作者:l3m0n_ 阅读:12531次 点赞(1) 收藏(137) 作者:l3m0n_ 预估稿费:300RMB(不服你也来投稿啊!) 投稿方式:发
阅读全文
摘要:转载自:http://bobao.360.cn/learning/detail/3193.html 2016-11-16 16:09:50 来源:insomniasec 作者:hac425 翻译:hac425 预估稿费:200RMB(不服你也来投稿啊!) 投稿方式:发送邮件至linwei#360.c
阅读全文
摘要:来源:http://www.mottoin.com/90302.html 在渗透测试期间,目标服务器如果是Windows的,目标服务器可能安装有JAVA版管理管理控制程序(例如:WAS、JBOSS和Tomcat),该服务器具有默认或者是可猜测(可以进行爆破攻击)的管理凭据。 一种思路是上传一个Met
阅读全文
浙公网安备 33010602011771号