摘要:
0x00 越权漏洞 越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。所以测试越权就是和开发人员拼细心的过程。... 阅读全文
posted @ 2016-01-23 17:46
h4ck0ne
阅读(198)
评论(0)
推荐(0)
摘要:
0x00 索引说明 6.30在OWASP的分享,关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证... 阅读全文
posted @ 2016-01-23 17:46
h4ck0ne
阅读(2500)
评论(0)
推荐(0)
摘要:
0x01下午在群里看到的 问下朋友大概 然后用不生不熟的sqlmap在那跑–表能跑的出 列就GG了 然后没辙–晚上跑各大论坛逛了遍果然大神多 就慢慢的研究下了下 看了pt0n大牛的分析文 真心感叹这洞 呵呵-。-0x02获取uc keyexp:faq.php?acti... 阅读全文
posted @ 2016-01-23 17:46
h4ck0ne
阅读(1110)
评论(0)
推荐(0)
摘要:
昨天本站转载了emlog相册插件的漏洞分析文章,当然也有html版的getshell代码,喜欢的同学们可以直接用昨天文章中分享的代码。为了练习python,小弟用python又重写了一次,喜欢的同学们也一起研究一下吧。其实也比较简单。python版源代码:#!/usr/bin/env python#... 阅读全文
posted @ 2016-01-23 17:46
h4ck0ne
阅读(572)
评论(0)
推荐(0)
摘要:
NS区域传送(DNS zone transfer)指的是一台备用服务器使用来自主服务器的数据刷新自己的域(zone)数据库。这为运行中的DNS服务提供了一定的冗余度,其目的是为了防止主的域名服务器因意外故障变得不可用时影响到整个域名的解析。一般来说,DNS区域传送操作只在网络里真的有备用域名DNS服... 阅读全文
posted @ 2016-01-23 17:46
h4ck0ne
阅读(354)
评论(0)
推荐(0)
摘要:
从传统意义讲,当你在电脑中插入一张CD/DVD光盘,或者插入一个USB设备时,可以通过自动播放来运行一个包含恶意的文件,不过自动播放功能被关闭时,autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY,你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘... 阅读全文
posted @ 2016-01-23 17:46
h4ck0ne
阅读(1386)
评论(0)
推荐(0)
摘要:
文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用。请不要做一只咖啡馆里安静的猥琐大叔。 写在前面 从至少一年前我就一直想在自己跑kali的笔记本上架个钓鱼热点。然而由于网上的教程的nat写得有问题,别人写好的脚本和我电脑有些互不待见,最接近成功的一次只做到了qq能聊... 阅读全文
posted @ 2016-01-23 17:46
h4ck0ne
阅读(1799)
评论(0)
推荐(0)
摘要:
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! "社工库"是运用社会工程学进行渗透测试时候积累的各方面数据的结构化数据库。 环境介绍 ①Host:Fedora(English)(server),win8(中文)②Fedora安装apache,M... 阅读全文
posted @ 2016-01-23 17:46
h4ck0ne
阅读(53)
评论(0)
推荐(0)
摘要:
突破安全狗和360网站卫士 进来蛋疼 肾是疼 可能是测试娃娃测试的太多了。前几天朋友让我帮他检测下他的网站安全性,网站发来一看。哇靠,又是安全狗,又是360网站卫士,这可怎好。首先是找到一个可以填写意见反馈的地方,XSS搞到后台管理COOKIE,这里不截图了。后台有个FCK,不过360网... 阅读全文
posted @ 2016-01-23 17:46
h4ck0ne
阅读(502)
评论(0)
推荐(0)
摘要:
简单的判断搜索型注入漏洞存在不存在的办法是先搜索',如果出错,说明90%存在这个漏洞。然后搜索%,如果正常返回,说明95%有洞了。然后再搜索一个关键字,比如2006吧,正常返回所有2006相关的信息,再搜索2006%'and 1=1 and '%'='和2006%'and 1=2 and '%'='... 阅读全文
posted @ 2016-01-23 17:46
h4ck0ne
阅读(826)
评论(0)
推荐(0)
浙公网安备 33010602011771号