2019年11月17日
构建基于Suricata+Splunk的IDS入侵检测系统
摘要: 0|1一.什么是IDS和IPS? IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,并发出安全警报。 IPS(Intrusion Prev 阅读全文
posted @ 2019-11-17 12:04 ZM思 阅读(1543) 评论(0) 推荐(0)
SQL注入学习资料总结
摘要: 什么是SQL注入 SQL注入基本介绍结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。1986年10月,美国国家标准学会对SQL进行规范后,以此作为关系式数据库管理系统的标准语言(ANSI X3. 135-198 阅读全文
posted @ 2019-11-17 12:01 ZM思 阅读(501) 评论(0) 推荐(0)
服务器搭建及使用基础加进阶篇
该文被密码保护。 阅读全文
posted @ 2019-11-17 11:58 ZM思 阅读(100) 评论(0) 推荐(0)
2019年11月10日
常见WAF绕过思路
摘要: WAF分类 0x01 云waf 在配置云waf时(通常是CDN包含的waf),DNS需要解析到CDN的ip上去,在请求uri时,数据包就会先经过云waf进行检测,如果通过再将数据包流给主机。 0x02 主机防护软件 在主机上预先安装了这种防护软件,可用于扫描和保护主机(废话),和监听web端口的流量 阅读全文
posted @ 2019-11-10 19:50 ZM思 阅读(7777) 评论(0) 推荐(0)
业务安全漏洞挖掘归纳总结
摘要: 身份认证安全 1.暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839 一些工具及脚本描述 Burpsuite htpwd 阅读全文
posted @ 2019-11-10 18:57 ZM思 阅读(753) 评论(0) 推荐(0)
细说验证码安全 —— 测试思路大梳理
摘要: 细说验证码安全 —— 测试思路大梳理 1 前言 在安全领域,验证码主要分为两大类:操作验证码 和 身份验证码 虽然都是验证码,但是这两者所承担的职责却完全不同。 操作验证码,比如登录验证码,主要用来 区分人与机器 ,在某种程度上属于图灵测试 身份验证码,主要用来判断账号归属人,解决信任问题,所以更恰 阅读全文
posted @ 2019-11-10 18:57 ZM思 阅读(3050) 评论(0) 推荐(0)
验证码安全那些事
摘要: 目录 0×01. 图形验证码 0×02. 短信验证码 0×03. 语音验证码 0×04. 滑动验证码 0×05. 总结 备注:无论使用哪种验证码,只要开发不当都可能存在安全漏洞,为了减少文章重复内容,只在短信验证码中讲解漏洞以及对应加固方案,在语音验证码中讲解风控预防措施。 0×01 图形验证码 图 阅读全文
posted @ 2019-11-10 18:40 ZM思 阅读(1101) 评论(0) 推荐(0)
2019年11月8日
手机验证码常见漏洞总结
摘要: 0X00 前言 手机验证码在web应用中得到越来越多的应用,通常在用户登陆,用户注册,密码重置等业务模块用手机验证码进行身份验证。针对手机验证码可能存在的问题,收集了一些手机验证码漏洞的案例,这里做一个归纳总结,在测试中,让自己的思路更加明确。常见的手机验证码漏洞如下: 1、无效验证 2、客户端验证 阅读全文
posted @ 2019-11-08 22:52 ZM思 阅读(989) 评论(0) 推荐(0)
绕过雷蛇官网的动态验证码
摘要: 大家好,我是@dhakal_ananda,来自尼泊尔,这是我在Hackerone上参加的雷蛇漏洞悬赏项目的一部分。一开始这个漏洞悬赏项目是一个非公开项目,我接到邀请后并没有参加;后来它变成了公开项目,我反而对它起了兴趣。 在挖掘漏洞时,我更喜欢绕过各种安全功能(例如二次验证),而不是挖掘普通的XSS 阅读全文
posted @ 2019-11-08 22:42 ZM思 阅读(455) 评论(0) 推荐(0)
黑客必学之“网页木马webshell”
摘要: 摘要: 这节课,我们来了解一下网页的木马,首先我们了解网页木马之前,先来了解一下什么是一句话木马、小马和大马、什么是webshell首先简单说一下webshell,webshell简单来说就是黑客植入的后门,它可以帮助我们黑客控制网站,就好像电脑木马控制电脑一样。一句话木马就这么小一句代码,不一定对 阅读全文
posted @ 2019-11-08 22:37 ZM思 阅读(3831) 评论(0) 推荐(0)