i春秋

摘要： 何谓越权？越过自己能够行使的权利来行使其他权利，通俗来讲，看了自己不该看到的东西，做了自己不能做的事。 a、GET请求可直接修改URL参数，POST请求只能抓包，通过修改限定订单号的参数值，实现任意订单泄漏、开房记录泄漏，当然不一定是订单存在此漏洞，个人信息、账户详情等各种私密信息都可能存在此漏洞。 b、案例分析：酒店催房处的一处越权，漏洞实例传送门 阅读全文

摘要： 近日，Cybellum公司发现了一个0-day漏洞，可完全控制大多数安全产品。此漏洞称为“DoubleAgent”（双面间谍），多家安全厂商受到DoubleAgent的影响，包括Avast，AVG，Avira，Bitdefender，趋势科技，Comodo科摩多，ESET，F-Secure，卡巴斯基，Malwarebytes，McAfee，Panda，Quick Heal和赛门铁克（Norton） 阅读全文

摘要： 第一种增加带宽硬抗对于大流量的攻击来说这种方法并不可取，原因么一是太烧钱啦,如果服务器性能不行带宽还没加服务器就可以挂了。再来看第二种也是现在比较多的方法，接入第三方高防或者流量清洗系统，以国内云厂商为例，先说下阿里云默认抗5G，有钱的话可以继续加，对小打小闹的攻击者来说可以防了 阅读全文

摘要： 人脑有无限的潜力，一个人的大脑如果完全被开发的话据说可以记住26国语言,4000多本图书的全部内容。全世界最聪明的人——爱因斯坦也仅仅只开发了12％而已，所以别以自己蠢为借口，你要是真的发狠了，你是不是下一个爱因斯坦谁又会知道，坚信一句话，没有人会让你输，除非你不想赢！ 阅读全文

摘要： 本节课程选自2016年在美国拉斯维加斯举办的DEF CON大会。作为世界上最知名的黑客大会，DEF CON每年举办一次，参会者除了来自世界各地的黑客，还有全球许多大公司的代表以及美国国防部、联邦调查局、国家安全局等政府机构的官员。 阅读全文

摘要： Node.js 是一个基于Chrome JavaScript 运行时建立的一个平台。Node.js是一个事件驱动I/O服务端JavaScript环境，基于Google的V8引擎，V8引擎执行Javascript的速度非常快，性能非常好。 阅读全文

摘要： 本文来源于i春秋学院，未经允许严禁转载 phpcms v9版本最近爆了好几个漏洞，网上公开了不少信息，但没有真正实战过，就不能掌握其利用方法，本次是在偶然的机会下，发现一个网站推荐楼凤信息，通过分析，其采用了phpcms系统，经过测试成功获取webshell。 1.1扫描及分析端口信息 使用“nma 阅读全文

摘要： 本文来源于i春秋学院，未经允许严禁转载。 最近打算更新微信机器人，发现机器人的作者将代码改进了很多，但去掉了sqlite数据库，需要自己根据需求设计数据库，跟作者沟通得到的建议是为了防止消息并发导致数据库死锁，建议另开一个进程读写数据库，将消息加入一个队列中，因为对Python了解有限，队列和多线程 阅读全文

摘要： DLL: 由于输入表中只包含 DLL 名而没有它的路径名，因此加载程序必须在磁盘上搜索 DLL 文件。首先会尝试从当前程序所在的目录加载 DLL，如果没找到，则在Windows 系统目录中查找，最后是在环境变量中列出的各个目录下查找。利用这个特点，先伪造一个系统同名的 DLL，提供同样的输出表，每个 阅读全文

摘要： 【部落守卫者集结令】拿巨额奖金？上白帽子排行榜？近距离膜拜大佬？学技术？掌握窍门？又或者你是个责任感爆棚想要互联网行业安全的有志青年？加入i春秋部落守卫者（The Guarders），统统满足你！【尊享特权】凡是成功通过筛选机制成为i春秋部落守卫者联盟一员的白帽子都将有机会获得以下奖励： 双倍厂商积 阅读全文