2014年11月2日
关于insert|update|delete注入中的tips
摘要: 2.updatexml()、extractvalue()、name_const()函数的使用3.I’ve noticed some variations in our payload. You can inject using these methods too.' or (payload) or ... 阅读全文
posted @ 2014-11-02 13:26 anything good 阅读(163) 评论(0) 推荐(0)
2014年11月1日
页游安全攻与防
摘要: http://danqingdani.blog.163.com/blog/static/1860941952012108115857107/ 阅读全文
posted @ 2014-11-01 23:46 anything good 阅读(113) 评论(0) 推荐(0)
TSRC挑战赛:WAF之SQL注入绕过挑战实录
摘要: 转自腾讯博文作者:TSRC白帽子发布日期:2014-09-03阅读次数:1338博文内容:博文作者:lol [TSRC 白帽子]第二作者:Conqu3r、花开若相惜来自团队:[Pax.Mac Team] 应邀参加TSRC WAF防御绕过挑战赛,由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战,... 阅读全文
posted @ 2014-11-01 23:24 anything good 阅读(321) 评论(0) 推荐(0)
从乌云看运维安全那点事儿
摘要: 本文转自乌云知识库0x00 背景运维安全属于企业安全非常重要的一环。这个环节出现问题,往往会导致非常严重的后果。本文从乌云上提交的近2000个运维方面的漏洞总结了一下经常出问题的点。希望各位看完之后能够有所收获~!目前已经总结的问题有:struts漏洞Web服务器未及时打补丁,有解析漏洞PHP-CG... 阅读全文
posted @ 2014-11-01 18:57 anything good 阅读(932) 评论(0) 推荐(0)
分层架构web容器的配置安全
摘要: 转自:http://hi.baidu.com/shineo__o/item/7520d54c24d234c71081da82/ps:本以为这是一个偶然配置失误造成的问题,但最近几天无聊时测试发现,有此类似问题的站点就有上百个,所以在这里粗糙总结一下! 通常我们会碰到这样一个问题,在某个web容器中部... 阅读全文
posted @ 2014-11-01 18:10 anything good 阅读(520) 评论(0) 推荐(0)
2014年10月31日
pkav之当php懈垢windows通用上传缺陷
摘要: $pkav->publish{当php懈垢windows}剑心@xsser抛弃了我,但我却不能抛弃乌云..php懈垢windows,就像男人邂逅女人,早晚都会出问题的..感谢二哥@gainoverTips:本文讲述一种新型的文件上传方式(几个特性导致的漏洞),并给出相应的实例..详细说明:#1 实例... 阅读全文
posted @ 2014-10-31 20:34 anything good 阅读(607) 评论(0) 推荐(0)
大型网站系统架构演化之路
摘要: 前言一个成熟的大型网站(如淘宝、京东等)的系统架构并不是开始设计就具备完整的高性能、高可用、安全等特性,它总是随着用户量的增加,业务功能的扩展逐渐演变完善的,在这个过程中,开发模式、技术架构、设计思想也发生了很大的变化,就连技术人员也从几个人发展到一个部门甚至一条产品线。所以成熟的系统架构是随业务扩... 阅读全文
posted @ 2014-10-31 20:33 anything good 阅读(150) 评论(0) 推荐(0)
ModSecurity SQL注入攻击 – 深度绕过技术挑战
摘要: ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。本文主要介... 阅读全文
posted @ 2014-10-31 20:00 anything good 阅读(693) 评论(0) 推荐(0)
SQL注入中的WAF绕过技术
摘要: 作者:bystander博客:http://leaver.me论坛:法克论坛目录1.大小写绕过2.简单编码绕过3.注释绕过4.分隔重写绕过5.Http参数污染(HPP)6.使用逻辑运算符or /and绕过7.比较操作符替换8.同功能函数替换9.盲注无需or和and10.加括号11.缓冲区溢出绕过1.... 阅读全文
posted @ 2014-10-31 14:17 anything good 阅读(372) 评论(0) 推荐(0)
几种通用防注入程序绕过方法 |
摘要: 0x00 前言目前主流的CMS系统当中都会内置一些防注入的程序,例如Discuz、dedeCMS等,本篇主要介绍绕过方法。0x01 Discuz x2.0防注入防注入原理这里以Discuz最近爆出的一个插件的注入漏洞为例,来详细说明绕过方法。漏洞本身很简单,存在于/source/plugin/v63... 阅读全文
posted @ 2014-10-31 14:16 anything good 阅读(641) 评论(0) 推荐(0)
孤 's 博客