Fluorescence

摘要： 一、常见PHP网站安全漏洞 对于PHP的漏洞，目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、session文件漏洞 Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时，为了 阅读全文

摘要： 漏洞概述： zabbix是一个开源的企业级性能监控解决方案。近日，zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞，攻击者无需授权登陆即可登陆zabbix管理系统，也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。 但是无需登录注入这里有 阅读全文

摘要： SSRF是什么： SSRF（Server-Side Request Forgery：服务器端请求伪造）是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统（大厂商的内网）。 SSRF产生原因： SSRF形成的原因大都是由于服务端提供了从其他服 阅读全文

摘要： 一.CSRF是什么？ CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。 二.CSRF可以做什么？ 你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的 阅读全文

摘要： 什么是同源策略： 在用户浏览互联网中的网页的过程中，身份和权限的思想是贯穿始终的 同源策略（Same-Origin Policy），就是为了保证互联网之中，各类资源的安全性而诞生的产物，它实际上是一个众多浏览器厂商共同遵守的约定。同源策略是浏览器中基本的安全功能，缺少同源策略，很多浏览器的常规功能都 阅读全文

摘要： XSS是什么： 跨站脚本攻击（Cross Site Scripting），为了不和层叠样式表（Cascading Style Sheets,CSS）的缩写混淆，故将跨站脚本攻击缩写为XSS。 恶意攻击者往WEB页面里插入恶意html代码，当用户浏览该页时，嵌入其中的html代码会被执行，从而达到恶意 阅读全文

摘要： 一般的WEB架构 SQL注入成因： 用户开启浏览器并连接http://www.xxx.com。位于逻辑层的Web服务器从文件系统中加载脚本将其传递给脚本引擎，脚本引擎负责解析并执行脚本。 脚本使用数据库连接程序打开存储层连接并对数据库执行SQL语句。数据库将数据返回给数据库连接程序，后者将其传递给逻 阅读全文

摘要： 第一步：下载ettercap的压缩包 用tar 解压压缩包，-z 用gzip的方式解压 -x 解打包/解压缩 -f 指定包 -v显示进度 ls 可以查看解压后出现一个新目录 ettercap-0.8.2 cd ettercap-0.8.2 进入解压出来的新目录，ls查看目录内的所有文件，vim IN 阅读全文