随笔分类 - 网站安全
i春秋论坛网站安全区提供专业的企业网站安全、服务器安全、网站安全防护、网站安全技术、网站安全资源、网站安全教程、网站安全学习及,网站安全防护首选i春秋论坛网站安全区。
摘要:本文作者:X_Al3r Prat 0 自白 每一天都是新的一天。没啥吐槽的,步入正题 /system/category.php 文件一处Sql注入## 80-87行代码 110-124行代码 首先我们需要直到,注意看$cate_name,从POST获取参数然后去掉空格。然后$action获取到的参数
阅读全文
摘要:最近我一个做贸易的朋友找到我,他发现自己拍摄的图片又被某个同行盗用了,而且是全站的图片基本都被盗用。 之前对方是引用他的图片链接,后面我给他做了防盗链解决了,现在对方是先下载图片,然后自己上传到服务器。 本文作者:jasonx 我朋友说和对方谈过几次,但是对方态度嚣张,让他有本事去就去告…. 那么闲
阅读全文
摘要:作者:i春秋作家——细心 一、前言 我们为什么要了解,调查取证?我们大部分人都是玩“日站”的,调查取证有什么用!取证在于揭示那些发生在网络及其设备上,有意义的,先前不人为不知道的,只有知道了以后我们才可以改进! 比如我们被“入侵”了,只有知道对方如何进入的我们才可以更好的“防御” 如果说在网络安全中
阅读全文
摘要:作者:__LSA__ 0x00 概述 渗透的时候总会首先测试注入,sql注入可以说是web漏洞界的Boss了,稳居owasp第一位,普通的直接回显数据的注入现在几乎绝迹了,绝大多数都是盲注了,此文是盲注系列的第一篇,介绍盲注中的报错注入。 0×01 报错注入原理 其实报错注入有很多种,本文主要介绍几
阅读全文
摘要:作者:Armyzer0 Weblogic(CVE-2017-10271) 漏洞出来以后又是一波血雨腥风,正好我昨天测试的时候发现了一个存在这个漏洞的weblogic,但是他不回显咋办呢!让他返回执行结果集到dnslong首先大家先了解下 “ 这个符号在Linux的作用! 符号:` `名称:反引号,上
阅读全文
摘要:本文作者:夜莺 今天向大家提个醒,最近有一款工具名叫FackImageexploer,该工具能够将恶意的.bat和.exe程序与图片绑定在一起,假若受害者点击了图片,就会反弹个shell给不法分子,如此我们就被别人控制了。这里讲述下不法分子是如何利用这个工具去生成恶意图片。 首先,在Kali中输入以
阅读全文
摘要:本文作者:icq5f7a075d Music起~ “啊门 啊前 一棵葡萄树,啊嫩 啊嫩 绿地刚发芽,蜗牛背着那重重地壳呀,一步一步地往上爬~” 上周分析勒索病毒(GlobeImposter),笔者感觉自己算法的逆向能力很弱,于是找了些题目练手。本文逆向程序主要来源于《加密与解密实战攻略》,算法将用P
阅读全文
摘要:作者:jing0102 前言 有一段时间没做测试了,偶尔的时候也会去挖挖洞。本文章要写的东西是我利用ClickJacking拿下管理员权限的测试过程。但在说明过程之前,先带大家了解一下ClickJacking的基本原理以及简单的漏洞挖掘。 ClickJacking ClickJacking背景说明:
阅读全文
摘要:本文作者:simeon 来源:i春秋社区 一、什么是比特币系统 有关比特币的专业知识讲解的内容资料很多,我这里只是简单通俗的记录下个人的学习和对他的理解。大家往往看到比特币首先想问的它到底是什么,是不是钱。可以肯定的回答大家,他是钱,但是他不只是个体,他其实是一个虚拟的电子货币支付系统,是的是一个系
阅读全文
摘要:1.栅栏密码 在IDF训练营里做过一道关于栅栏密码的问题。 栅栏密码的解法很简单,也有点复杂,字符长度因数多得会有很多个密码。对,栅栏密码的解法就是:计算该字符串是否为合数,若为合数,则求出该合数除本身和1的因数,然后将字符串分隔。用笔者自己写的解法就是这样: 凯撒密码,古代凯撒大帝用来打仗时的密码
阅读全文
摘要:电影里的黑客们聊天不想我们生活中的一样,用QQ、微信的客户端,都是通过命令行来进行聊天交流的,大概是为了提升逼格吧。(文末有福利~) 本文作者:KevinSVIP 今天发现一个有趣的项目:使用mojoqq来实现命令行QQ 目标版本是:Mojo-Webqq v2.1.4 项目地址:https://gi
阅读全文
摘要:今天心血来潮给大家写个新手到黑客入门的路径图【附全部学习资料下载】! 入门介绍: 说到黑客大家可能觉得很神秘,其实我们说的的黑客是白帽子黑客,就是去寻找网站、系统、软件等漏洞并帮助厂商修复的人,刚入门的黑客大部分从事渗透工作,而渗透大部分属于web安全方向,就是利用漏洞来取得一些数据或达到控制,让对
阅读全文
摘要:真正的践行者,一定是工匠精神的受益者,用修行的价值观代替浮躁功利的工作观。用一生为代价去做一件事情,那是一种纯粹的伟大。 本文作者:i春秋签约作家——夏之冰雪 今年初写的一篇文章,漏洞根源在于人——知识深度篇 ,本来是写系列文章,因为各种个人原因一直推迟了。收拾好心情,重新出发吧! 我们在安全检测、
阅读全文
摘要:最近写了两个python的脚本不过实际意义不是很大,就是想练练python写程序,一直研究web方面脚本写的少多了,还有C语言也用的少多了。现在有时间得多写写程序,别把以前学到的知识给忘了。 作者: Jerk 2017.11.7 【注:代码若被编辑器转义或编码,大家可点击代码框左上角的纯文本查看】
阅读全文
摘要:非常基础的代码审计练习,适合有php基础的审计新手练习 本文作者:Aedoo 来源:i春秋社区 0×01 代码跟踪 首先,进入首页代码 :index.php 包含了php文件:/include/common.inc.php 跟踪这个php文件,这些文件都是包含的全局文件。 这个php文件还是先包含了
阅读全文
摘要:关于目前诈骗、社工数据的套路,说道说道~ 一、前言 这篇文章没有什么高深的技术,只有普普通通的套路,主要也是有I春秋各位表哥与诈骗分子的交手有感而发! 二、正文 因为我们上网的或者其他条件下的人群,没有I春秋各位的套路! 在这个新的互联网时代隐私基本不存在的时代。我们普通人如何远离各种“诈骗”各种奇
阅读全文
摘要:有一天,在机缘巧合之下我获得了一个锁机软件(是多巧合阿喂!),然后兴高采烈的把它拖入了虚拟机里蹂躏(>_<!)。 很巧,软件有虚拟机检测。。。 Emmmm好吧,随便过一下。。。 我用的虚拟机是VMware12,网上查到了一段过检测的代码: isolation.tools.setVersi
阅读全文
摘要:接触web安全中,例如上传一句话WebShell实现上传文件的功能,再通过上传的多功能WebShell,执行病毒文件最终创建远程连接账号,达到入侵目标服务器的效果。我们可以看到,webshell在整个过程中起到了决定性的作用,因此对WebShell的防御是Web安全防御体系中非常重要的一部分。那么如
阅读全文
摘要:首先事情是这样的,正在看九州海上牧云记的我,媳妇儿突然跟我说转5300,我当时心里想可能是遇到转账问题了吧。、我媳妇儿问我说:支付宝限额每天是不是5000.于是我问了起来。 我媳妇儿说转给了闺蜜3000.我当时就问他打了电话没,确认是否本人。我媳妇儿说:没打!!!!! 于是3000块钱已经收入了骗子
阅读全文
摘要:前言 好久没给朋友们带来黑客大会视频的分析了。我自己在空余时间仍然在做黑客大会的翻译工作,不过这一段时间听译的内容大多数都是工具的介绍,写起来感觉有些空(不过,如果我遇到有意思的工具,我还是会和大家分享的)。然而,前天发生的一件事情让我下定决心一定要为将要上线的一个DEF CON 23视频撰写一篇专
阅读全文
浙公网安备 33010602011771号