摘要:
JD-FreeFuck 后台命令执行漏洞 漏洞说明 JD-FreeFuck 存在后台命令执行漏洞,由于传参执行命令时没有对内容过滤,导致可以执行任意命令,控制服务器 项目地址:https://github.com/meselson/JD-FreeFuck 环境搭建 脚本一键部署: bash <(cu 阅读全文
摘要:
简介 sqlmap 是一款自动化检测与利用 SQL 注入漏洞的免费开源工具。 目前可以检测用来于检测利用五种不同类型的 SQL 注入 布尔型盲注(Boolean-based blind):sqlmap 会替换或添加 SQL 语句到 HTTP 请求的查询参数里面,相关的 SQL 语句可能是合法的 SE 阅读全文
摘要:
Sqmap 利用 Google 批量扫描注入点 sqlmap -g "inurl:php?id=10 site:.com.cn" --proxy "http://127.0.0.1:1080" --threads 5 --batch --answer "extending=N,follow=N,ke 阅读全文
摘要:
mysql修改加密方式 安装 安装mysql服务 sudo apt-get install mysql-server 配置初始化信息 sudo mysql_secure_installation 具体配置信息 #1 VALIDATE PASSWORD PLUGIN can be used to te 阅读全文
摘要:
信息安全学习路线 安全人员基本技能 学习安装操作系统(Windows、Vmware/VirtualBox、Ubuntu/Kali) 学习使用搜索引擎(baidu/google语法) 魔法上网(......) 学会提问的智慧 文档编写技巧(word,ppt,markdown) 浏览器插件的使用(Fir 阅读全文
摘要:
DNS域传送 DNS :Domain Name System 一个保存IP地址和域名相互映射关系的分布式数据库,重要的互联网基础设施,默认使用的TCP/UDP端口号是53 常见DNS记录类型: A IP地址记录,记录一个域名对应的IP地址 AAAA IPv6 地址记录,记录一个域名对应的IPv6地址 阅读全文
摘要:
CSRF csrf的原理与危害 CSRF (Cross Site Request Forgery),中文全称跨站点请求伪造。 攻击者盗用了受害者的身份,以受害者的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作。 以两个例子说明, 案例一: 一个银行站点存在一个 阅读全文
摘要:
反序列化 原理介绍 序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。 阅读全文
摘要:
计算机通讯基础 计算机通信网的组成 计算机网络由通信子网和资源子网组成。其中通信子网负责数据的无差错和有序传递,其处理功能包括差错控制、流量控制、路由选择、网络互连等。 其中资源子网是计算机通信的本地系统环境,包括主机、终端和应用程序等, 资源子网的主要功能是用户资源配置、数据的处理和管理、软件和硬 阅读全文
摘要:
四大顶会官网链接 USENIX Security: https://www.usenix.org/ IEEE Symposium on Security and Privacy 简称S&P: https://www.ieee-security.org/TC/SP-Index.html Confere 阅读全文