随笔分类 - 网站安全
i春秋论坛网站安全区提供专业的企业网站安全、服务器安全、网站安全防护、网站安全技术、网站安全资源、网站安全教程、网站安全学习及,网站安全防护首选i春秋论坛网站安全区。
摘要:前言:故事发生在前两天,我们去参观工业园区内一家电商公司。 去参观他们公司的时候,我说要用下无线网,他们技术说密码就是他们的网站域名,我一脸懵逼表示我不知道域名,然后对方接过我手机给我连上了他们wifi。 然后就有了后面的故事。 本文作者:i春秋签约作家——jasonx 0×01 邪恶的想法 在回来
阅读全文
摘要:iOS应用由于直接运行在用户的手机上,而不是运行在后台服务器上,所以更容易被攻击。 任何系统都会有木马病毒的产生,不存在绝对的安全,iOS应用由于直接运行在用户的手机上,而不是运行在后台服务器上,所以更容易被攻击。恶意的一些攻击手段包括劫持网络通讯、窃取本地数据以及篡改程序行为。很多人把安全问题完全
阅读全文
摘要:简单来说,这是攻击者可以利用属于不同网络的那些系统的攻击。 本文作者:jishuzhain 对于这种攻击,攻击者需要利用主服务器来帮助攻击者将自己添加到本地网络中,然后攻击者就可以将客户端系统进行定位,然后攻击。 实验环境要求: 攻击机:Kali Linux 枢纽机:具有两个网络接口的windows
阅读全文
摘要:那些让你加班加点过不好周末的漏洞你还记得吗? 害得我们不能约会、不能睡懒觉、不能打农药……… 漏洞1、Tomcat如果开启PUT方法支持则可能存在远程代码执行漏洞,漏洞编号为CVE-2017-12615的漏洞。攻击者可以在使用该漏洞上传JSP文件,从而导致远程代码执行。此漏洞影响Windows平台下
阅读全文
摘要:加密,是以某种特殊的算法改变原有的信息数据,使得未授权的用户即使获得了已加密的信息,但因不知解密的方法,仍然无法了解信息的内容。 外国人认为的“密码”一词是个动词,意味加密,也就是加密数据,他们强调的是这个过程,中国人称的“密码”是开启秘密的那个口令码,它是使用密钥文件的钥匙。所以,外国人用词更加精
阅读全文
摘要:AI迎来了改变世界的新机遇,同时也迎来了新的网络安全问题,只要是联网的系统就会有漏洞爆出~ 随着大数据的应用,人工智能逐渐走入千家万户并显示出巨大的市场空间,从机器人客服、自动驾驶汽车到无人机等,全都属于人工智能的范畴,随之而来的安全漏洞问题同样不容忽视,有些甚至已经显现。 智能家居的开门开锁——你
阅读全文
摘要:你在互联网上留下的数据比你妈更了解你。。 某乎看到的一个问题,嗯,看完回答真是意味深长呀, 你在互联网上留下的数据比你妈更了解你。。就是这个道理。。社工社工库的英文是Social Engineering Database,也就是社会工程学数据库。真是不知道该如何说话了!下面给大家推荐几门社工课程涨姿
阅读全文
摘要:本文作者:i春秋签约作家——rosectow 文章做一个支付逻辑复现过程,由于网站只能修改数量无法修改金额,遇到这种,就用另外的办法来减少金额测试,注:标题狗 0×01 打开网站,找到了一款网站中比较贵的手表,价值是5800块钱,网站看起来没什么毛病,网站也是很正常的 我测试了立即购买的时候进行抓包
阅读全文
摘要:还记得今年4月中旬,Shadow Brokers(影子经纪人)黑客组织发布出一份震惊世界的机密文档,其中包含了多个Windows 远程漏洞利用工具,此工具集覆盖大量的Windows服务 器,可以被任何人进行下载利用,攻击者可以利用工具对Windows目标主机进行溢出提权,危害极大。 虽然已过去半年,
阅读全文
摘要:本文作者:i春秋签约作家——非主流 大家好,我是来自农村的非主流,今天就给在座的各位表演个绝活。 首先打开服务器上安装了主机卫士的网站。 尝试在变量id的值后面插入万恶的单引号,根据报错,我们可以分析出来,网站使用的是access数据库。 通过order+by查看当前表有多少个列,发现6的时候报错,
阅读全文
摘要:本文作者:i春秋签约作家——Mochazz 0×00 前言 某一天,Szrzvdny表哥在群里分享了基于ThinkPHP的cms后台getshell的姿势,然后实际中真碰到一个用jymusic cms搭建的网站,就测试了一波,后来没空提权,就问了我。那我就练练手,平常也没提权过。下面用本地环境模拟测
阅读全文
摘要:主要利用substr函数和url编解码 本文作者:i春秋签约作家Laimooc 1】安全狗: 新研究的php脚本木马:最新版安全狗扫描如下: 成功看到:扫描已完成,未发现网页木马以及其他威胁(开心吗,战友们~) 最新版安全狗信息: 使用截图:来一个phpinfo()试试效果>> 刺激吧。再试试who
阅读全文
摘要:本文作者:薄荷糖微微凉 Destoon B2B网站管理系统是一套完善的B2B(电子商务)行业门户解决方案。系统基于PHP+MySQL开发,采用B/S架构,模板与程序分离,源码开放。模型化的开发思路,可扩展或删除任何功能;创新的缓存技术与数据库设计,可负载不低于百万级别数据容量及访问。系统被数万b2b
阅读全文
摘要:本文作者:i春秋作者——玫瑰 QQ2230353371转载请保留文章出处 使用方法--tamper xxx.py apostrophemask.py用UTF-8全角字符替换单引号字符 apostrophenullencode.py 用非法双字节unicode字符替换单引号字符 appendnullb
阅读全文
摘要:今天和大家分享一下aspx网站的代码审计,漏洞类型为:未授权访问和任意文件下载。 本文作者:i春秋签约作家——非主流 今天看的源码文件就不共享给大家了,本文只作学习只用。 还是先看我们的文件夹目录和dll文件的目录: 这是网站根目录 正常打开,是会跳转到/2052/aspx/userlogin.as
阅读全文
摘要:hi,我是凉风,(以下内容纯属个人见解,如有不同的意见欢迎回复指出) ,本菜比发现aspx过狗的姿势不常见,不像php一样一抓一大把,于是我决定研究一下aspx 本文作者:i春秋签约作家——凉风 引用i春秋作家团大佬@非主流 对一句话木马的理解: 一句话木马的意思就是,我们制造了一个包含远程代码执行
阅读全文
摘要:今天给大家带来的是asp程序的代码审计,asp和aspx代码审计来说,有很多相同的地方。 正好今天要交任务,最近的目标站的子域名使用了这个cms,但是版本不一定是这个,好累。 本文作者:i春秋签约作家——非主流 程序名称:自由策划 下载地址:http://down.chinaz.com/soft/3
阅读全文
摘要:漏洞编号:CVE-2017-9805(S2-052) 影响版本:Struts 2.5 - Struts 2.5.12 漏洞概述:问题出现在struts2-rest-plugin插件XStreamHandler处理器中的toObject()方法,其中未对传入的值进行任何限制,在使用XStream反 0
阅读全文
摘要:本文作者:i春秋签约作家——夏之冰雪 系统命令注入是常见的一类漏洞,攻击者可以绕过业务本身,在服务器上执行一个或多个系统命令。 在详细介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同。他们的区别在于,远程代码执行实际上是调用服务器网站代码进行执行,而命令注入则是调用操作系统命令进行执行。
阅读全文
摘要:希望可以帮助大家拓宽自己的安全学习、研究范围,多了解一些提升自己安全的途径。 本文作者:i春秋签约作家——夏之冰雪 恩,首先我分享国内top 3的最重要途径: 1. i春秋学院课程,里面有大量的精品课程,值得各阶段的人去学习。 2. i春秋论坛,恩,当你看到这篇帖子时,充分说明这个途径你已经掌握了。
阅读全文
浙公网安备 33010602011771号