web安全 - 随笔分类 - studyskill

ref:web security最新学习资料收集

摘要：ref:https://chybeta.github.io/2017/08/19/Web-Security-Learning/ ref:https://github.com/CHYbeta/Web-Security-Learning Web-Security-Learning 学习资料01月29日更阅读全文

posted @ 2018-09-11 17:03 studyskill 阅读(540) 评论(0) 推荐(0)

ref:CodeIgniter框架内核设计缺陷可能导致任意代码执行

摘要：ref:https://www.seebug.org/vuldb/ssvid-96217 简要描述：为准备乌云深圳沙龙，准备几个0day做案例。官方承认这个问题，说明会发布补丁，但不愿承认这是个『漏洞』……不过也无所谓，反正是不是都没美刀~ 详细说明： CI在加载模板的时候，会调用 $this- 阅读全文

posted @ 2018-06-26 15:52 studyskill 阅读(906) 评论(0) 推荐(0)

ref:一种新的攻击方法——Java Web表达式注入

摘要：ref:https://blog.csdn.net/kk_gods/article/details/51840683 一种新的攻击方法——Java Web表达式注入 ref:https://blog.csdn.net/kk_gods/article/details/51840683 一种新的攻击方法阅读全文

posted @ 2018-06-13 10:31 studyskill 阅读(966) 评论(0) 推荐(0)

ref:Web Service 渗透测试从入门到精通

摘要：ref:https://www.anquanke.com/post/id/85910 Web Service 渗透测试从入门到精通发布时间：2017-04-18 14:26:54 译文声明:本文是翻译文章，文章原作者，文章来源：exploit-db.com 原文地址：https://www.exp 阅读全文

posted @ 2018-06-11 16:10 studyskill 阅读(778) 评论(0) 推荐(0)

文件上传漏洞（绕过姿势）

摘要：ref:https://thief.one/2016/09/22/%E4%B8%8A%E4%BC%A0%E6%9C%A8%E9%A9%AC%E5%A7%BF%E5%8A%BF%E6%B1%87%E6%80%BB-%E6%AC%A2%E8%BF%8E%E8%A1%A5%E5%85%85/ 文件上传漏洞阅读全文

posted @ 2018-05-30 21:56 studyskill 阅读(332) 评论(0) 推荐(0)

ref:使用Dezender对zend加密后的php文件进行解密

摘要：ref:http://www.cnblogs.com/88223100/ 使用Dezender对zend加密后的php文件进行解密在开发中需要修改一些php文件，部分是通过zend加密的，记事本打开之后是这样的：此时需要使用Dezender进行解密，下载链接如下： Dezender.7z 下载后阅读全文

posted @ 2018-05-30 20:43 studyskill 阅读(274) 评论(0) 推荐(0)

web学习测试环境

摘要：ref:https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project/Pages/Offline OWASP Vulnerable Web Applications Directory Proj 阅读全文

posted @ 2018-05-30 20:17 studyskill 阅读(253) 评论(0) 推荐(0)

ref:PHP反序列化漏洞成因及漏洞挖掘技巧与案例

摘要：ref:https://www.anquanke.com/post/id/84922 PHP反序列化漏洞成因及漏洞挖掘技巧与案例一、序列化和反序列化序列化和反序列化的目的是使得程序间传输对象会更加方便。序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会阅读全文

posted @ 2018-05-15 14:55 studyskill 阅读(1303) 评论(0) 推荐(0)

ref:【干货分享】PHP漏洞挖掘——进阶篇

摘要：ref:http://blog.nsfocus.net/php-vulnerability-mining/ 【干货分享】PHP漏洞挖掘——进阶篇王陶然从常见的PHP风险点告诉你如何进行PHP漏洞挖掘，以及PHP渗透测试中的黑盒与白盒。你与PHP大师只有这一篇文章的差距！文章目录一. PHP漏阅读全文

posted @ 2018-05-14 09:04 studyskill 阅读(868) 评论(0) 推荐(0)

ref:PHP代码注入审计

摘要：ref:https://www.waitalone.cn/php-code-injection.html 通俗易懂，全面清晰。 0x1 前言为了方便自己以后的翻阅和查找，最近正在整理一些所学的内容。个人觉得只有将知识系统化和模块化才能更加有效的吸收和学习。接下来就先开始整理关于 PHP 代码注入的阅读全文

posted @ 2018-05-14 08:59 studyskill 阅读(318) 评论(0) 推荐(0)

ref:浅谈XXE漏洞攻击与防御

摘要：ref:https://thief.one/2017/06/20/1/ 浅谈XXE漏洞攻击与防御发表于 2017-06-20 | 分类于 web安全 | 热度 3189 ℃ 你会挽着我的衣袖，我会把手揣进裤兜之前在参加一场CTF竞赛中遇到了xxe漏洞，由于当时并没有研究过此漏洞，解题毫无头绪。为阅读全文

posted @ 2018-05-14 08:45 studyskill 阅读(1034) 评论(0) 推荐(0)

ref:ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3)

摘要：ThinkPHP Builder.php SQL注入漏洞(<= 3.2.3) ref:https://www.jianshu.com/p/18d06277161e TimeSHU 2018.04.21 02:03* 字数 761 阅读 23评论 2喜欢 0 ThinkPHP Builder.php 阅读全文

posted @ 2018-05-09 11:34 studyskill 阅读(7218) 评论(0) 推荐(0)

ref:学习笔记 UpdateXml() MYSQL显错注入

摘要：ref:https://www.cnblogs.com/MiWhite/p/6228491.html 学习笔记 UpdateXml() MYSQL显错注入在学习之前,需要先了解 UpdateXml() 。 UPDATEXML (XML_document, XPath_string, new_val 阅读全文

posted @ 2018-05-09 08:39 studyskill 阅读(188) 评论(0) 推荐(0)

ref:Manual SQL injection discovery tips

摘要：ref:https://gerbenjavado.com/manual-sql-injection-discovery-tips/ Manual SQL injection discovery tips August 26, 2017 According to bugbountyforum.com' 阅读全文

posted @ 2018-05-07 19:57 studyskill 阅读(268) 评论(0) 推荐(0)

转：Exploiting Electron RCE in Exodus wallet

摘要：转：https://hackernoon.com/exploiting-electron-rce-in-exodus-wallet-d9e6db13c374 Exploiting Electron RCE in Exodus wallet While browsing Twitter I’ve no 阅读全文

posted @ 2018-05-05 16:20 studyskill 阅读(182) 评论(0) 推荐(0)

转：LNMP虚拟主机PHP沙盒绕过/命令执行(php exec命令被禁之后)

摘要：LNMP虚拟主机PHP沙盒绕过/命令执行 lnmp更新1.2版本，很多东西都升级了，很棒。不过还是发现一个BUG。 LNMP是一款linux下nginx、php、mysql一键安装包。下载：http://soft.vpser.net/lnmp/lnmp1.2.tar.gz 执行一个命令即可简单安装阅读全文

posted @ 2018-04-25 20:23 studyskill 阅读(1828) 评论(0) 推荐(0)

转： kali msfvenom生成木马

摘要：kali msfvenom生成木马转：https://blog.csdn.net/qq_33391644/article/details/79266724 msfvenom是msfpayload,msfencode的结合体，可利用msfvenom生成木马程序,并在目标机上执行,在本地监听上线 1. 阅读全文

posted @ 2018-04-23 17:25 studyskill 阅读(764) 评论(0) 推荐(0)

转：Uncovering Drupalgeddon 2（cve-2018-7600）漏洞深度解析(附漏洞利用代码地址)

摘要：转：https://research.checkpoint.com/uncovering-drupalgeddon-2/ By Eyal Shalev, Rotem Reiss and Eran Vaknin Abstract Two weeks ago, a highly critical (25 阅读全文

posted @ 2018-04-23 17:17 studyskill 阅读(464) 评论(0) 推荐(0)

转：XSS知识大总结

摘要：转：https://www.jianshu.com/p/75a3d9332b8c XSS知识大总结 2016.10.28 21:05* 字数 1332 阅读 961评论 2喜欢 13 2016.10.28 21:05* 字数 1332 阅读 961评论 2喜欢 13 2016.10.28 21:05 阅读全文

posted @ 2018-03-30 09:57 studyskill 阅读(320) 评论(0) 推荐(0)

php源码审计

摘要：转：http://www.jb51.net/article/31898.htm 针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击阅读全文

posted @ 2018-03-17 15:55 studyskill 阅读(1117) 评论(0) 推荐(0)

随笔分类 - web安全