摘要： 一、组操作1、创建组groupadd test增加一个test组2、修改组groupmod -n test2 test将test组的名子改成test23、删除组groupdel test2删除 组test24、查看组a）、查看当前登录用户所在的组groups，查看apacheuser所在组group... 阅读全文

摘要： Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。CookBookBurp Suite使用介绍（一）Burp ... 阅读全文

摘要： 本文首先简单介绍开发测试人员如何对 Web 应用进行 XSS 漏洞测试，如何借助工具绕过客户端 JavaScript 校验输入恶意数据；然后针对使用 PHP 语言构建的 Web 站点，从在输出端对动态内容进行编码、以及在服务器端对输入进行检测两方面介绍如何避免恶意的 XSS 攻击。使用 PHP 构建... 阅读全文

摘要： HTTP 响应头文件中包含未经验证的数据会引发 cache-poisoning、cross-site scripting、cross-user defacement、page hijacking、cookie manipulation 或 open redirect。HTTP协议头注射漏洞原理以下情... 阅读全文

摘要： 昨晚安全新闻爆出一个“PHP任意文件上传漏洞”，CVE编号为：CVE-2015-2348。当时楼主正准备收拾东西回家，看到这个新闻心里一惊：失传江湖多年的0字符截断上传漏洞又重现了？而且还影响这么多版本！如果漏洞属实，看来今晚又要通宵打补丁了啊。不过经过简单分析后，发现漏洞的利用条件相当苛刻（很多人... 阅读全文

摘要： 0x01:前言随着互联网的快速发展，我们的生活与互联网的联系愈加的紧密。各种快捷方便的信息化通信工具渐渐取代了传统的通信方式。微博、QQ、MSN、微信、陌陌，…这样的社交软件和平台已经成为了我们生活必不可少的通讯和交友平台。但是像上述的这些软件及平台都有一个共同的特征，那就是即时性。即时性的通信虽然... 阅读全文

摘要： ssrf攻击概述很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL，web应用可以获取图片，下载文件，读取文件内容等。这个功能如果被恶意使用，可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。这种形式的攻击称为服务端请求伪造攻击（Server-side Reques... 阅读全文

摘要： 摘要：本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细分析，并通过一个真实案例演示了如何利用PHP文件包含漏洞对目标网站进行渗透测试，最终成功获取到网站的WebShell。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细分析，并通过一个真实案例演示了如何利用PHP文件包含漏洞对目标网... 阅读全文

摘要： 一、前言 安全狗是一款大家熟悉的服务器安全加固产品，据称已经拥有50W的用户量。最近经过一些研究，发现安全狗的一些防护功能，例如SQL注入、文件上传、防webshell等都可以被绕过，下面为大家一一介绍。二、测试环境 本次测试环境为中文版Win2003 SP2+PHP 5.3.28+Mysql ... 阅读全文

摘要： CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保 护之下的操作，有很大的危害性。然而，该攻击方式并不为大家所熟知，很多网站都有 CSRF ... 阅读全文