2015年2月2日
9个常用iptables配置实例
摘要: iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。咋一看iptables的配置很复杂,掌握规律后,其实用iptables完成指定任务并不难,下面我们通过具体实例,学习iptables的详细用法。1.删除已有规则在新设定iptables规则时,我们一般先确保旧规则被清除,... 阅读全文
posted @ 2015-02-02 16:12 安全大可 阅读(793) 评论(0) 推荐(0) 编辑
Linux SSH安全技巧
摘要: SSH服务器配置文件是/etc/ssh/sshd_conf。在你对它进行每一次改动后都需要重新启动SSH服务,以便让改动生效。1、修改SSH监听端口默认情况下,SSH监听连接端口22,攻击者使用端口扫描软件就可以看到主机是否运行有SSH服务,将SSH端口修改为大于1024的端口是一个明智的选择,因为... 阅读全文
posted @ 2015-02-02 15:55 安全大可 阅读(1058) 评论(0) 推荐(0) 编辑
2014年7月2日
Backbox Linux简介与配置内网IP
摘要: 总体说起来,Backbox内置的工具什么的,并不是很多,但是它集成了一些用起来很棒的工具。比如:Beef、Sqlmap、wpscan、zenmap、msf、w3af、dns嗅探等一系列工具,传说中的:取其精华去其糟粕?我自认为BackBox的一些好处:1、自带FireFox浏览器2、自带Beef3、... 阅读全文
posted @ 2014-07-02 10:46 安全大可 阅读(1922) 评论(0) 推荐(0) 编辑
2014年6月25日
RedHat6.2 x86手动配置LNMP环境
摘要: 因为公司要求用RedHat配,顺便让我练习一下Linux里面的操作什么的。折腾来折腾去终于搞好了,其实也没那么难嘛。但是也要记录一下。首先,是在服务器里面用VMware搭建的RedHat6.2 x86系统。在RedHat里面yum里面的源基本是收费的。CentOS呢,是RedHat的衍生版,目的就是... 阅读全文
posted @ 2014-06-25 16:10 安全大可 阅读(1369) 评论(2) 推荐(1) 编辑
2014年6月20日
见招拆招:绕过WAF继续SQL注入常用方法
摘要: 这篇文章之前的名字叫做:WAF bypass for SQL injection #理论篇,我于6月17日投稿了Freebuf。链接:点击这里现博客恢复,特发此处。 Web Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过。WAF bypass是一个永恒的话题... 阅读全文
posted @ 2014-06-20 16:47 安全大可 阅读(1408) 评论(5) 推荐(2) 编辑
国内互联网公司漏洞响应平台
摘要: 腾讯安全应急响应中心:http://security.tencent.com/百度安全应急响应中心:http://sec.baidu.com阿里巴巴安全应急响应中心:http://security.alibaba.com新浪安全应急响应中心:http://sec.sina.com.cn360安全应急... 阅读全文
posted @ 2014-06-20 16:38 安全大可 阅读(741) 评论(0) 推荐(0) 编辑
各种Web漏洞测试平台
摘要: Sqli Lab​支持报错注入、二次注入、盲注、Update注入、Insert注入、Http头部注入、二次注入练习等。支持GET和POST两种方式。 https://github.com/Audi-1/sqli-labsDVWA (Dam Vulnerable Web Application)DVW... 阅读全文
posted @ 2014-06-20 16:37 安全大可 阅读(2098) 评论(1) 推荐(0) 编辑
推荐:安全公司的一些面试题
摘要: 答案网上基本上都能找到,面试前挨个看一遍。其实就算是不面试,这些题目都能涨很多姿势,扩充知识面。解释一下同源策略同源策略,那些东西是同源可以获取到的如果子域名和顶级域名不同源,在哪里可以设置叫他们同源如何设置可以跨域请求数据?jsonp是做什么的?AjaxAjax是否遵循同源策略?json注入如何利... 阅读全文
posted @ 2014-06-20 16:35 安全大可 阅读(1700) 评论(0) 推荐(1) 编辑
PHP的SQL注入技术实现以及预防措施
摘要: SQL 攻击(SQL injection,台湾称作SQL资料隐码攻击),简称注入攻击,是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指 令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而运行,因此遭到破坏。有部份人认... 阅读全文
posted @ 2014-06-20 16:34 安全大可 阅读(506) 评论(0) 推荐(0) 编辑
Sqlmap注入Base64编码的注入点
摘要: 不小心删了,找快照才找到的。补回来。。。上次遇到一个Base64的注入点,手工注入太麻烦,于是在网上看了一下sqlmap Base64注入的方法,如下:sqlmap -u http://xxxx.com/index.php?tel=LTEnIG9yICc4OCc9Jzg5 --tamper base... 阅读全文
posted @ 2014-06-20 16:33 安全大可 阅读(2694) 评论(0) 推荐(0) 编辑
kali高速更新源以及主题修改方法
摘要: 文章不小心删了~这是我以前写的文章了了。实用性较强,所以现在补回来!安装完kali之后,需要对软件进行一次整体更新:apt-get update & apt-get upgrade但是,先别着急,默认kali安装完之后,里面的更新源很慢,是kali官网的更新源,我们从国内进行下载,肯定会很慢。所以,... 阅读全文
posted @ 2014-06-20 16:30 安全大可 阅读(3780) 评论(0) 推荐(0) 编辑
2014年5月14日
学霸君APP渗透测试之短信轰炸+密码重置+任意手机号注册
该文被密码保护。 阅读全文
posted @ 2014-05-14 22:23 安全大可 阅读(71) 评论(0) 推荐(1) 编辑
2014年4月19日
DiscuzX3.1搬家全过程
摘要: 最近做了一个安全交流小社区,由于太卡了,之后换了服务器,要给论坛搬家所以在这里写一下记录。首先,搬家前要做好以下准备:1、在网站后台-站长-数据库-备份-网站-Discuz! 和 UCenter 数据这里要注意,一定要选择【Discuz! 和 UCenter 数据】,否则数据将备份不完全。下一步就是... 阅读全文
posted @ 2014-04-19 03:20 安全大可 阅读(736) 评论(0) 推荐(0) 编辑
2014年4月14日
浅谈如何保证discuz插件安全
摘要: 1.非直接执行程序请加上if(!defined('IN_DISCUZ')) {exit('Access Denied');}2.记得过滤 比如说uid等id需要intval过滤,避免溢出 文字内容需要htmlspecialchars过滤避免内容变形(DZ内为dhtmlspecialchars)3... 阅读全文
posted @ 2014-04-14 16:59 安全大可 阅读(670) 评论(0) 推荐(0) 编辑
2014年4月13日
Discuz插件开发之全站论坛目录结构注释
摘要: 基本上新版本的discuzX系列目录结构都差不多,刚好大神整理出来了,就拿来看吧。|-- /api uc.php UCenter通信文件 |-- /api/addons应用中心 |-- /api/connect腾讯互联 |-- /api/googleGoogle引擎接口处理 |-- /ap... 阅读全文
posted @ 2014-04-13 03:34 安全大可 阅读(633) 评论(0) 推荐(0) 编辑
真正的安全感源自于自身的实力
回顶部