Akira

摘要： 信息收集是非常重要的一步，在掌握了目标主机或目标网络足够的信息，能够更好地进行漏洞检测拿下shell。 信息收集分为被动信息收集和主动信息收集 主动信息收集：与目标主机交互、通过直接访问或扫描网站 被动信息收集：不与主机进行交互，通过搜索引擎或工具获得网站信息 1.Google语法 操作符： 逻辑或 阅读全文

摘要： 在电商、金融、证券、保险、游戏、社交、招聘、O2O 等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全。对于一个互联网公司而言，业务发展的不同阶段，对“业务安全”有着不同的目标和需求。从业务功能角度保障核心业务安全，反机器人爬货、恶意骚扰”的场景中，系统可以识别是机器人在对平台进行浏览货源 阅读全文

摘要： WAF是一个缩写，全称是web应用防护系统（Web Application Firewall）通过一系列的安全策略(核心机制是正则匹配)来对web应用提供保护。 WAF有硬件类和软件类，常见软件类waf：安全狗、云锁、悬镜、护卫神、云盾。 1.大小写绕过 对于一些比较垃圾的waf可以尝试大小写混杂绕 阅读全文

摘要： 在安装vmtools时候点击上方菜单栏虚拟机vmtool安装就ok了 最近在给一台新虚拟机安装时遇到了点小问题 vmtool菜单栏变成灰色无法点击 可以通过以下配置安装 关闭虚拟机将CD/DVD 、（CD/DVD2）和软盘设置为使用物理驱动器确定保存 然后再进行安装即可 如果长时间没有响应可以在搜索 阅读全文

摘要： Web安全入门 SQL注入 Q:什么是SQL注入？ A:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步 阅读全文