随笔分类 - 网站安全
i春秋论坛网站安全区提供专业的企业网站安全、服务器安全、网站安全防护、网站安全技术、网站安全资源、网站安全教程、网站安全学习及,网站安全防护首选i春秋论坛网站安全区。
摘要:他曾一度是“黑客”的代名词—— 15岁,仅凭借一台电脑和一部老式的调制解调器,他就成功入侵了北美防空司令部的防务指挥系统,翻遍美国指向前苏联及其盟国的所有核弹头数据资料! 你无法想象FBI 执行逮捕,却看到对象是个未满16岁的毛头小子时候的表情! 苹果、微软、诺基亚…甚至连圣迭戈的超级计算机中心都成
阅读全文
摘要:在进行渗透测试的过程中,我们有时候会希望使用可执行文件来完成某些任务。最近,我们在测试过程中拿下了一个网站,从而获得了一次发动水坑攻击的机会。 原文地址:https://www.peew.pw/blog/2017/11 … bles-for-pentesters 背景 于是, 我们将JavaScri
阅读全文
摘要:白帽子是谁? 他们与一行行代码打交道,在“0”和“1”的世界中寻找风险,在IT产业软硬件核心技术和代码等自主研发能力不足、安全防护手段滞后、地下黑客业务已形成产业链的背景下,我国网络安全正面临日益严峻的挑战。目前,“白帽子”黑客在保障网络安全中的作用无可替代。 你有没有被他们的神秘所吸引,白帽子都具
阅读全文
摘要:试想:某一天,你的基友给你了一个视频文件,号称是陈老师拍的苍老师的老师题材的最新电影.avi,你满心欢喜,在确定文件格式确实为avi格式后,愉快的脱下裤子准备欣赏,打开后却发现什么也没有,而随后你的基友就控制了你的电脑,把你辛辛苦苦珍藏了二十年的片源全部偷走了……. 本文作者:i春秋作家——降草 今
阅读全文
摘要:本文作者:i春秋作家——索马里的海贼 前言上一回(http://bbs.ichunqiu.com/thread-13714-1-1.html)说到快速漏洞挖掘中的几个重点关注对象,命令执行,文件操作,sql注入。并且拿sql做为例子简单做了一次代码审计,今天换一个思路,从文件操作部分入手,毕竟 文件
阅读全文
摘要:本文作者:i春秋作家——whoamiecho 前言 好久没认真的写过渗透过程了,这次来个长篇一点的,我尽量语言生动点,过程还蛮有意思的,大家看着玩吧。文章已做脱密处理,关键URL用******代替,截图已做专业打码。旨在技术交流。 事情的起因还不得不提到躺在硬盘中好几个月的沉甸甸的包裹着Active
阅读全文
摘要:什么是存储性XSS那? 通俗理解就是”xss“语句存在服务器上,可以一直被客户端浏览使用,所有登陆某一个存在”存储性xss“的页面的人,都会中招,可以是管理员,可以是普通的用户,所以他的危害是持续性的,造成的后果也是巨大的。 跨站脚本(XSS, Cross Site Script)攻击指的是,攻击者
阅读全文
摘要:本文作者:i春秋作家——jishuzhain 一些反反编译技术的简单例子 在以前的时代,对软件来进行下(汇编级)逆向工程确实是一个很繁琐的过程,但是如今现代反编译器的发展已经把这个过程变得容易了。只需要在编译过后的机器代码中使用反编译器的功能就可以把机器代码尝试恢复到近似于软件以前的源代码级别。 不
阅读全文
摘要:本文作者:i春秋签约作家——onls辜釉 最近比较忙,很久没发文章了,Onls本就只是一个安全爱好者,工作也不是安全相关。以往的文章也更像是利用简单漏洞的“即兴把玩”,更多的是偏向趣味性,给大家增加点学习的乐趣,看完文章即使仅有一个人觉得“哦?原来还能这样玩!”那我认为也是有价值的。话不多说,咱们开
阅读全文
摘要:首先为什么说再次调戏呢,因为这个大黑客之前已经被调戏过了一次,如果各位看官不知道以前是如何调戏的,可以转到《调戏勒索软件大黑客》围观 为什么会写这篇文章呢,因为这个叫Xiaoba的大黑客显然不服输,很快他开发了新的勒索软件,然后再次大肆传播 笔者呢,最近也闲着,而且继上次调戏后可能觉醒了”攻”的一面
阅读全文
摘要:本题目:获取ww.test.ichunqiu后台登录密码。 本文作者:i春秋作家——独狼1927 Step 01 > 目标地址:172.16.12.2 172.16.12.3(注意:本实验中一共有两个目标地址)本机地址:172.16.11.2第一题的要求是获取ww.test.ichunqiu后台登录
阅读全文
摘要:本文作者:i春秋签约作家——shuteer 前言 内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里。于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴求。今天小菜我本着所有师傅们无私分享的精神,特将三年内求师傅,求妹子,求神器所得,经过整理后,关键的
阅读全文
摘要:本文作者:i春秋签约作家——Laimooc 官网地址:http://www.tp-shop.cn/ 影响版本:TPSHOP v2.0.0 后门文件:eval-stdin.php 内容: 分析: 使用 接收POST请求的原始数据流 eval函数来执行。 我们把代码复制下来,本地调试如下,惊喜不,喜欢不
阅读全文
摘要:本文作者:jishuzhain 对于恶意软件编写者来说,隐藏一个进程一直是一个挑战,他们对此发现了很多方法。我现在讲述的这个技巧是非常基本的,虽然写起来很简单,但是却不能一直工作下去。这个技巧叫做“RunPE”,在恶意软件行业,特别是RAT(远程管理工具)中已经使用了很多次。 基本上,当一个恶意软件
阅读全文
摘要:本文作者:i 春秋签约作家——shuteer 前期准备:1. 使用Veil生成免杀PAYLOAD; 2. 有一个外网IP的服务器,安装好metasploit,方便操作。 一.SHELL反弹meterpreter 上传免杀的PAYLOAD到SHELL(有时候会碰到EXE文件上传不了,可以使用power
阅读全文
摘要:《网络安全法》于2016年11月7日发布,自2017年6月1日起施行。 进一步界定关键信息基础设施范围,对攻击、破坏我国关键信息基础设施的境外组织和个人出台相应的惩治措施,增加了惩治网络诈骗等新型网络违法犯罪活动的规定等内容。对于这些规定我们应该如何解读?吴沈括教授提到,“我们有必要基于一种体系化的
阅读全文
摘要:研究MySQL数据库的加解密方式,在网络攻防过程中具有重要的意义;试想一旦获取了网站一定的权限后,如果能够获取MySQL中保存用户数据,通过解密后,即可通过正常途径来访问数据库;一方面可以直接操作数据库中的数据,另一方面可以用来提升权限。本文对目前常见的MySQL密码破解方式进行了研究和讨论。 本文
阅读全文
摘要:近年来,利用app渗透工具展开攻击的案例层出不穷,受害者也与日俱增。虽说只要消除安全漏洞就能够杜绝这些攻击,但这就需要安全从业者掌握正确的安全知识。 随着移动互联网的迅速发展,智能手机,平板电脑,一些可穿戴设备逐渐走进人们的生活,毫无疑问,这些安卓设备不但给我们带来了无穷的乐趣,还可以提高我们的工作
阅读全文
摘要:本文作者:i春秋签约作家——rosectow 0×00前言 XSS又名叫CSS全程(cross site scriptting),中文名跨站脚本攻击,目前网站的常见漏洞之一,它的危害没有像上传漏洞,sql注入,命令执行,这种危害性极高的漏洞一样,但是大致xss与上面讲的这些漏洞不一样它是需要去被动式
阅读全文
摘要:SQL注入渗透测试指的是:当我们的Web程序在向后台数据库传递SQL语句进行数据库操作时,在未对用户输入的参数进行严格的过滤处理情况下,攻击者通过构造特殊的SQL语句,直接传输到数据库,使其执行此语句,从而达到获取或修改数据库中的数据的目的。文末有彩蛋哦~ 注入漏洞是企业运营中遇到的最具破坏性的漏洞
阅读全文
浙公网安备 33010602011771号