摘要：转自：http://blog.knownsec.com/2012/03/Web应用漏洞的大规模攻击案例分析/当一个流行的Web应用漏洞碰到充满想象力的Web Hackers，会产生什么化学效应？By GreySign@Yunnan:2012/3/20我们常常听闻各种Web漏洞被发现、被利用、被大肆宣传，或许安全厂商们都多多少少有点让用户们觉得这只是恐吓营销的手段，但我们从不这么认为。从我们的团队创立至今，分析、深入追踪过的案例大大小小已经数不清，但我们也相信，这些被发现的精彩的大规模攻击、 APT攻击（当最初我们看到各种高级攻击的时候，还不知道如何称呼它们）只是冰山一角，浮出水面的每个事件，在 阅读全文

摘要：转自：http://www.lo0.ro/2011/apache-server-2-3-14-denial-of-service-exploit/!/usr/bin/perl -w# Exploit Title: Apache Server 2.3.14 <= Denial of Service exploit (DDOS)# Date: 22/10/2011# Author: Xen0n# Software Link: http://www.apache.org/dyn/closer.cgi# Version: 2.3.14 and older# Tested on: CentOs#f 阅读全文

摘要：转自：http://www.lo0.ro/2012/php-5-3-x-hash-collision-proof-of-concept-code/Hash collisions in POST Denial-of-service exploitExamples: -) Make a single Request, wait for the response and save the response to output0.html python HashtablePOC.py -u https://host/index.php -v -c 1 -w -o output-) Take down 阅读全文

摘要：转自：http://www.lo0.ro/2011/top-10-web-application-penetration-testing-tools-actually-11/Well this is not quite a default top ten list (based on witch one is the smarter/faster/better) but just a simple list of applications you can use in a pentest. Free and open source app come first.1. Arachni Arach 阅读全文

摘要：白天搜到的，python版本测试成功。上一篇就是根据这篇。转自Silic Group: http://bbs.blackbap.org/thread-2419-1-1.html 本文末尾将付上MS12-020真正的PoC，编写语言为ruby和python两个版本的，还有一个exe程序，均不需要什么freerdp包之类的东西。Sabu写的那个不是MS12-020的shellcode，而是2008年Apache 1.2.19的远程命令执行漏洞的EXP修改来的。真正的PoC除了本文帖子，其他的地方还真没流传出来。 新闻把这个炒作起来，完全是在微软推送补丁以后看漏洞的介绍和波及范围而炒作的。PoC.. 阅读全文

摘要：转自：https://blog.whitehatsec.com/vote-now-top-ten-web-hacking-techniques-of-2011/Every year the Web security community produces a stunning amount of new hacking techniques published in various white papers, blog posts, magazine articles, mailing list emails, etc. Within the thousands of pages are the 阅读全文