转:Python安全 - 从SSRF到命令执行惨案
摘要:转:https://www.leavesongs.com/PENETRATION/getshell-via-ssrf-and-redis.html Python安全 - 从SSRF到命令执行惨案 PHITHON 前两天遇到的一个问题,起源是在某个数据包里看到url=这个关键字,当时第一想到会不会有S
阅读全文
posted @
2017-06-29 08:37
studyskill
阅读(3152)
推荐(0) 编辑
java逆向相关
摘要:1.将war文件导入到Eclipse 在导入war文件之前,新建项目,比如:webPorject 在Myeclipse中:在File 》import==》General中选择Archive File,出现对话框 在弹出的Form archive file对话框中选择要导入的项目.war 全选 >导入
阅读全文
posted @
2017-06-27 11:39
studyskill
阅读(296)
推荐(0) 编辑
转:Filter的执行顺序与实例
摘要:转:http://www.cnblogs.com/Fskjb/archive/2010/03/27/1698448.html Filter的执行顺序与实例 Filter介绍 Filter可认为是Servlet的一种“变种”,它主要用于对用户请求进行预处理,也可以对HttpServletRespons
阅读全文
posted @
2017-06-27 09:50
studyskill
阅读(346)
推荐(0) 编辑
Attacking JavaScript Engines: A case study of JavaScriptCore and CVE-2016-4622(转)
摘要:转:http://phrack.org/papers/attacking_javascript_engines.html Title : Attacking JavaScript Engines: A case study of JavaScriptCore and CVE-2016-4622 Au
阅读全文
posted @
2017-06-09 17:13
studyskill
阅读(1181)
推荐(0) 编辑
推荐开源靶场Vulhub
摘要:转:https://github.com/phith0n/vulhub Vulhub - Some Docker-Compose files for vulnerabilities environment Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行
阅读全文
posted @
2017-06-09 16:52
studyskill
阅读(1789)
推荐(0) 编辑
web服务器解析漏洞总结(转)
摘要:转:http://www.secpulse.com/archives/3750.html 解析漏洞总结 2015 /1/27 22:09 2015 /1/27 22:09 一、IIS 5.x/6.0解析漏洞 IIS 6.0解析利用方法有两种 1.目录解析 /xx.asp/xx.jpg 2.文件解析
阅读全文
posted @
2017-06-09 16:49
studyskill
阅读(917)
推荐(0) 编辑
nigin配置安全:三个案例看Nginx配置安全(转)
摘要:转:https://www.leavesongs.com/PENETRATION/nginx-insecure-configuration.html 三个案例看Nginx配置安全 PHITHON 之前在Sec-News中推荐了一个开源程序 https://github.com/yandex/gixy
阅读全文
posted @
2017-06-09 16:46
studyskill
阅读(8105)
推荐(0) 编辑
CRLF攻击的一篇科普:新浪某站CRLF Injection导致的安全问题(转)
摘要:转:https://www.leavesongs.com/PENETRATION/Sina-CRLF-Injection.html 新浪某站CRLF Injection导致的安全问题 PHITHON 2014 六月 30 06:45 阅读:3714 网络安全 HRS, CRLF, xss 2014
阅读全文
posted @
2017-06-09 16:28
studyskill
阅读(9120)
推荐(1) 编辑
转:攻击JavaWeb应用[9]-Server篇[2]
摘要:转:http://static.hx99.net/static/drops/papers-869.html 攻击JavaWeb应用[9]-Server篇[2] 园长 · 2014/01/22 12:58 注:在继后门篇后已经有很长时间没更新了,这次一打算写写Server[1]的续集。喜欢B/S吗?那
阅读全文
posted @
2017-06-07 15:25
studyskill
阅读(376)
推荐(0) 编辑
转:攻击JavaWeb应用[8]-后门篇
摘要:转:http://static.hx99.net/static/drops/tips-662.html 攻击JavaWeb应用[8]-后门篇 园长 · 2013/10/11 19:19 0x00 背景 关于JavaWeb后门问题一直以来都比较少,而比较新奇的后门更少。在这里我分享几种比较有意思的Ja
阅读全文
posted @
2017-06-07 15:24
studyskill
阅读(1298)
推荐(0) 编辑
转:攻击JavaWeb应用[7]-Server篇[1]
摘要:转:http://static.hx99.net/static/drops/tips-604.html 攻击JavaWeb应用[7]-Server篇[1] 园长 · 2013/09/22 15:39 java应用服务器 Java应用服务器主要为应用程序提供运行环境,为组件提供服务。Java 的应用服
阅读全文
posted @
2017-06-07 15:23
studyskill
阅读(1024)
推荐(0) 编辑
转:攻击JavaWeb应用[6]-程序架构与代码审计
摘要:转:http://static.hx99.net/static/drops/tips-429.html 攻击JavaWeb应用[6]-程序架构与代码审计 园长 · 2013/08/12 16:53 注: 不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻
阅读全文
posted @
2017-06-07 15:22
studyskill
阅读(560)
推荐(0) 编辑
转:攻击JavaWeb应用[5]-MVC安全
摘要:转:http://static.hx99.net/static/drops/tips-347.html 攻击JavaWeb应用[5]-MVC安全 园长 · 2013/07/25 13:31 0x00、初识MVC 传统的开发存在结构混乱易用性差耦合度高可维护性差等多种问题,为了解决这些毛病分层思想和M
阅读全文
posted @
2017-06-07 15:21
studyskill
阅读(421)
推荐(0) 编辑
转:攻击JavaWeb应用[4]-SQL注入[2]
摘要:转:http://static.hx99.net/static/drops/tips-288.html 攻击JavaWeb应用[4]-SQL注入[2] 园长 · 2013/07/18 17:23 注:这一节主要是介绍Oracle和SQL注入工具相关,本应该是和前面的Mysql一起但是由于章节过长了没
阅读全文
posted @
2017-06-07 15:20
studyskill
阅读(745)
推荐(0) 编辑
转:攻击JavaWeb应用[3]-SQL注入
摘要:转:http://static.hx99.net/static/drops/tips-236.html 攻击JavaWeb应用[3]-SQL注入 园长 · 2013/07/16 18:28 注:本节重点在于让大家熟悉各种SQL注入在JAVA当中的表现,本想带点ORM框架实例,但是与其几乎无意,最近在
阅读全文
posted @
2017-06-07 15:19
studyskill
阅读(1325)
推荐(0) 编辑
转:攻击JavaWeb应用[2]-CS交互安全
摘要:转:http://static.hx99.net/static/drops/tips-164.html 攻击JavaWeb应用[2]-CS交互安全 园长 · 2013/07/08 14:54 0x00 Request & Response(请求与响应) 请求和响应在Web开发当中没有语言之分不管是A
阅读全文
posted @
2017-06-07 15:17
studyskill
阅读(576)
推荐(0) 编辑
转:攻击JavaWeb应用[1]-javaEE基础
摘要:http://www.cnblogs.com/oh3o/p/3224562.html JSP: 全名为java server page,其根本是一个简化的Servlet。 Servlet:Servlet是一种服务器端的Java应用程序,可以生成动态的Web页面。 JavaEE: JavaEE是J2E
阅读全文
posted @
2017-06-07 15:11
studyskill
阅读(443)
推荐(0) 编辑
