4

WebApp 安全风险与防护课堂开课了!

2018 网络安全事故频发,从数据泄露、信息窃取,到 DDOS 攻击、勒索病毒,不仅威胁的总数在增加,威胁态势也变得更加多样化,攻击者在不断开发新的攻击途径的同时,也尽力在攻击过程中掩盖其踪迹,使网络安全防护变得越发棘手。未来是万物互联的时代,唯有把握住网络信息安全,才能避免被降维打击。葡萄城带您以... ...

葡萄城技术团队 发布于 2019-06-25 17:09 评论(4)阅读(304)
0

利用python模拟菜刀反弹shell绕过限制

有的时候我们在获取到目标电脑时候如果对方电脑又python 编译环境时可以利用python 反弹shell 主要用到python os库和sokect库 这里的服务端在目标机上运行 本机运行 ...

痱子﹑ 发布于 2019-06-25 10:34 评论(0)阅读(21)
0

SQLi-LABS Page-1(Basic Challenges) Less11-Less22

Less-11 GET - Blind - Time based - double quotes http://10.10.202.112/sqli/Less-11/ 尝试登录: username:admin' password: 1 You have an error in your SQL sy ...

APT-101 发布于 2019-06-20 17:45 评论(0)阅读(21)
0

Burpsuite抓取https数据包

Burpsuite抓取https包 浏览器代理设置 Burpsuite代理设置 启动Burpsuite,浏览器访问127.0.0.1:8080,点击CA Certificate,下载cacert.der安全证书文件。 导入证书:Internet选项,内容,证书,选择受信任的证书颁发机构,导入刚刚下载 ...

你似雾 发布于 2019-06-20 17:27 评论(0)阅读(45)
0

SQLi-LABS Page-1(Basic Challenges) Less5-Less10

Less5 GET - Double Injection - Single Quotes http://10.10.202.112/sqli/Less-5?id=1 http://10.10.202.112/sqli/Less-5?id=1' You have an error in your SQ ...

APT-101 发布于 2019-06-19 09:32 评论(0)阅读(20)
16

预防SQL注入笔记

SQL注入如何预防? 本文参考自owasp,重点是提供清晰,简单,可操作的指导,以防止应用程序中的SQL注入漏洞。不幸的是,SQL注入攻击很常见,这是由于两个因素: 发生了如此多的成功SQL注入攻击有点可耻,因为在代码中避免SQL注入漏洞非常简单。 当软件开发人员创建包含用户提供的输入的动态数据库查 ...

秃桔子 发布于 2019-06-18 15:30 评论(0)阅读(265)
0

php中转菜刀脚本过狗免杀

$V) { if(strstr($v,"base64_decode")) { $v=str_replace("base64_decode(","",$v); $v=str_replace("))",")",$v); } else { if($k==="z0") {$v=base64_decod... ...

痱子﹑ 发布于 2019-06-16 19:37 评论(0)阅读(36)
0

mysql 堆注入写shell

如果一个平台有注入点的时候可以通过写一句话拿shell 条件 1.myql 5.6.34 版本区分 2.有写的权限 3.知道绝对路径 MySQL 中 在在mysql 5.6.34版本以后 secure_file_priv的值默认为NULL ,而 secure_file_priv为null 那么我们就 ...

痱子﹑ 发布于 2019-06-13 22:11 评论(0)阅读(32)
0

开发人员必备的网络知识(非原创)

文章大纲 一、网络类型介绍二、网络七层协议详细介绍三、其他介绍四、参考文章 一、网络类型介绍 因特网因特网因特网是当今世界上最大的网络, 是”网络的网络”. 即因特网是所有网络互连起来的一个巨型网络.因特网的组成 :(1)边缘部分 : 主机(2)核心部分 : 大量网络和连接这些网络的路由器(此路由器 ...

故事爱人 发布于 2019-06-12 17:51 评论(1)阅读(62)
1

软件开发之安全设计

近期在做安全开发生命周期(SDL)相关培训,其中针对安全设计阶段,基于一般的Web应用数据流图,整理了一份checklist结构图,以供参考。 ...

canyezhizi 发布于 2019-06-09 19:56 评论(0)阅读(56)
0

sql注入100种姿势过waf(二):过安全狗

仅供学习交流如果你有更好的思路可以一起分享,想一起学习的进我主页 先去安全狗网站下载最新的安全狗版本 从官网下载 windwos apache版 v4.0.2395 最新版 数据库是mysql 5.6 1.首先判断是否有注入点包括是字符型还是数字型注入 我们假设他是数字型注入 构造 id=0=0 在 ...

痱子﹑ 发布于 2019-06-06 15:02 评论(0)阅读(529)
0

sql注入100种姿势过waf(一):waf 了解

仅供学习交流如果你有更好的思路可以一起分享,想一起学习的进我主页 首先WAF(Web Application Firewall),俗称Web应用防火墙,主要的目的实际上是用来过滤不正常或者恶意请求包,以及为服务器打上临时补丁的作用。 1、云waf: 在配置云waf时(通常是CDN包含的waf),DN ...

痱子﹑ 发布于 2019-06-06 10:14 评论(0)阅读(102)
0

源代码扫描工具Fortify SCA与FindBugs的简单对比

前段时间因为工作原因需要对java源代码进行扫描,现结合使用经验对静态代码扫描工具Fortify SCA与FindBugs进行一个简单的对比。 一、Fortify SCA Fortify SCA是由全球领先的软件安全产品解决方案供应商Fortify Software开发,致力于帮助客户在软件开发生命 ...

canyezhizi 发布于 2019-06-05 19:56 评论(0)阅读(75)
0

2. 移动安全渗透测试-(Android安全基础)

2.1 Android系统架构 1、应用程序层 平时所见的一些java为主编写的App 2、应用程序框架层 应用框架层为应用开发者提供了用以访问核心功能的API框架 android.app:提供高层的程序模型和基本的运行环境。 android.content:包含对各种设备上的数据进行访问和发布。 ...

APT-101 发布于 2019-06-05 18:01 评论(0)阅读(30)
0

双文件上传突破利用

这个漏洞在南方cms 上出现的 主要是上传时候利用bp抓包 然后鼠标右键吧数据包发送到Repeater模块 找到你上传的包内容 一般是 61234564788Content-Disposition: form-data; name="FileName"; filename=“1.png” 图片内容 ...

痱子﹑ 发布于 2019-06-05 13:50 评论(0)阅读(30)
0

渗透实例(一):点后缀突破上传文件

目标系统 windows+php 1.字典爆破后台路径 2.后台弱口令爆破 3.进去后发现两个上传点 编辑器百度的 无版本漏洞 无法利用 有一个单独的备份模板上传 4.初次上传php后缀 被告知格式不允许 尝试其他后缀 .php5 .php1 之类的 都被禁止 1.png 可以 图片可以 图片名字被 ...

痱子﹑ 发布于 2019-06-05 13:11 评论(0)阅读(46)
0

1. 移动安全渗透测试-(环境搭建)

Santoku 移动渗透测试中的菜刀 下载:http://santoku-linux.com/download/ 预览: 安装JADX 首先需要安装Java8,这里安装为open-jdk8 $ sudo add-apt-repository ppa:openjdk-r/ppa $ sudo apt- ...

APT-101 发布于 2019-06-05 12:08 评论(0)阅读(28)
0

IIS6.0使用冒号上传漏洞利用

利用条件: 1.iis版本为6.0 2.上传文件名不会重命名 利用: 上传一个jpg木马图片 名字为:cs.asp:.jpg 注意是: 默认windows是不允许文件字含:(冒号)的 所以需要抓包后改下!! 上传成功后,iis会忽略掉:后面的字符,也就是成了cs.asp .但是在接收判断文件后缀还是 ...

痱子﹑ 发布于 2019-06-04 22:11 评论(0)阅读(34)
0

利用3389端口监视管理员登录

这里要用到 可以在角色里面安装 终端服务配置 双击 选择环境 管理员进行3389登录时 执行1.bat 文件 也可以是一个恶意的exe bat 里面写 @echo offdate /t>>log.txt 获取日期time /t >>log.txt 获取时间netstat -n -p tcp |fin ...

痱子﹑ 发布于 2019-06-04 19:30 评论(0)阅读(36)
0

Windows突破远程连接最大数去掉限制登录

当对方设置最大连接数 超过限制时 可以用这个命令 win+r 输入 mstsc /v:192.168.18.131:3389 /console windows server 2003 sp2 以下的版本(包括) mstsc /v:192.168.18.131:3389 /admin windows ...

痱子﹑ 发布于 2019-06-04 15:59 评论(0)阅读(31)