studyskill

随笔分类 -  web安全

上一页 1 2
转:perl源码审计
摘要:转:http://www.cgisecurity.com/lib/sips.html Security Issues in Perl Scripts By Jordan Dimov (jdimov@cigital.com) Introduction A programming language, b 阅读全文
posted @ 2018-03-17 15:54 studyskill 阅读(415) 评论(0) 推荐(0)
web资料收集
摘要:Web安全资料:https://github.com/CHYbeta/Web-Security-Learning http://blog.pentestbegins.com/2017/07/21/hacking-into-paypal-server-remote-code-execution-201 阅读全文
posted @ 2017-07-24 16:21 studyskill 阅读(230) 评论(0) 推荐(0)
转:Python安全 - 从SSRF到命令执行惨案
摘要:转:https://www.leavesongs.com/PENETRATION/getshell-via-ssrf-and-redis.html Python安全 - 从SSRF到命令执行惨案 PHITHON 前两天遇到的一个问题,起源是在某个数据包里看到url=这个关键字,当时第一想到会不会有S 阅读全文
posted @ 2017-06-29 08:37 studyskill 阅读(3174) 评论(0) 推荐(0)
推荐开源靶场Vulhub
摘要:转:https://github.com/phith0n/vulhub Vulhub - Some Docker-Compose files for vulnerabilities environment Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行 阅读全文
posted @ 2017-06-09 16:52 studyskill 阅读(1843) 评论(0) 推荐(0)
web服务器解析漏洞总结(转)
摘要:转:http://www.secpulse.com/archives/3750.html 解析漏洞总结 2015 /1/27 22:09 2015 /1/27 22:09 一、IIS 5.x/6.0解析漏洞 IIS 6.0解析利用方法有两种 1.目录解析 /xx.asp/xx.jpg 2.文件解析 阅读全文
posted @ 2017-06-09 16:49 studyskill 阅读(922) 评论(0) 推荐(0)
nigin配置安全:三个案例看Nginx配置安全(转)
摘要:转:https://www.leavesongs.com/PENETRATION/nginx-insecure-configuration.html 三个案例看Nginx配置安全 PHITHON 之前在Sec-News中推荐了一个开源程序 https://github.com/yandex/gixy 阅读全文
posted @ 2017-06-09 16:46 studyskill 阅读(8151) 评论(0) 推荐(0)
CRLF攻击的一篇科普:新浪某站CRLF Injection导致的安全问题(转)
摘要:转:https://www.leavesongs.com/PENETRATION/Sina-CRLF-Injection.html 新浪某站CRLF Injection导致的安全问题 PHITHON 2014 六月 30 06:45 阅读:3714 网络安全 HRS, CRLF, xss 2014 阅读全文
posted @ 2017-06-09 16:28 studyskill 阅读(9215) 评论(0) 推荐(1)
转:json注入
摘要:现在大部分web采用ajax通信,数据表现为json格式,因此可以尝试进行json注入。 json注入:根据实际情况进行注入。有的时候,可能是为了方便,有人会手动拼接下JSON,但是这种随手代码,却可能带来意想不到的安全隐患。第一种方式,利用字符串拼接:String user = "test01"; 阅读全文
posted @ 2017-03-09 10:39 studyskill 阅读(4157) 评论(0) 推荐(0)
php漏洞tips
摘要:1.php后缀限制 'php,php3,php4,php5,php6,php7,phpsh,inc,phtml','PHT'; 2.php木马 <?php echo shell_exec($_GET['cmd']); ?> 阅读全文
posted @ 2017-03-09 09:53 studyskill 阅读(164) 评论(0) 推荐(0)
转:xxe attack学习
摘要:小结 1.http包发送类型:content-type:text/xml2.xxe漏洞非常危险, 因为此漏洞会造成服务器上敏感数据的泄露,和潜在的服务器拒绝服务攻击。要去校验DTD(document type definition)中SYSTEM标识符定义的数据,并不容易,也不大可能。大部分的XML 阅读全文
posted @ 2017-03-09 09:49 studyskill 阅读(292) 评论(0) 推荐(0)
转:php防止sql注入的一点心得
摘要:转:http://blog.csdn.net/sky_zhe/article/details/9702489 转:http://zhangxugg-163-com.iteye.com/blog/1835721 如何才能禁止PHP本地转义而交由MySQL Server转义呢? PDO有一项参数,名为P 阅读全文
posted @ 2017-03-09 09:46 studyskill 阅读(4939) 评论(0) 推荐(0)

上一页 1 2

博客园  ©  2004-2025
浙公网安备 33010602011771号 浙ICP备2021040463号-3 Powered By博客园