Web安全

  • 如何自己写aspx过狗D盾一句话木马

    hi,我是凉风,(以下内容纯属个人见解,如有不同的意见欢迎回复指出) ,本菜比发现aspx过狗的姿势不常见,不像php一样一抓一大把,于是我决定研究一下aspx本文作者:i春秋签约作家——凉风引用i春秋作家团大佬@非主流  对一句话木马的理解:一句话木马的意思就是,我们制造了一个包含远程代码执行漏洞的web页面。目录:0×01:我没有aspx代码编写基础,我该从哪入手?0×02...

    2017年09月19日 1382 0
  • 网页上的污染源:“PM2.5报告”插件实为恶意广告注射器

    网页上的污染源:“PM2.5报告”插件实为恶意广告注射器 网站通过投放广告来获得收入,这本无可厚非。但是大家有没有想过,这些页面广告真的都是网站自己投放的么?其实并不一定,360互联网安全中心近日就发现了这样一款恶意软件,它会向用户正常访问的网页中插入各种低俗甚至是欺诈类的广告。该恶意软件主体会伪装成“PM2.5报告”程序,被安装后静默向Chrome内核浏览器安装扩展、向IE浏览器安装B...

    2017年09月19日 341 0
  • blueborne漏洞的联想

    本文作者:ice0X00前言昨天看到blueborne的漏洞,顺手给我的nexus6装了一个app,测试了一下,一脸懵逼,怎么修复啊,然后我联想了一下,还有哪些协议和传输是我们身边的威胁了,于是我去查资料了,便有了这篇文章。0X01其他的东东首先我想到的是rfid(nfc),airdrop,zigbee,dect,红外线NFC这个技术由非接触式射频识别(RFID)演变而来,由飞利浦半导体(现恩智浦...

    2017年09月18日 578 0
  • sqli-labs lession 5 之盲注型SQL入门

    本文作者:Mochazz如果所查询的用户id在数据库中,可以发现页面显示”You are in”,而不像前4关那样会显示出具体的账号密码。如果sql语句查询结果不存在,则不会显示”You are in”这种类型的SQL注入属于盲注型,使用id=1’观察报错信息,如下图可以看到报错信息是”1” LIMIT 0,1′,也就是说后台代码可能是这样写的:SELECT * FROM users WHERE ...

    2017年09月15日 954 0
  • API文档化开发实战

    1 序幕: 痛苦的来源情景私有化部署需要调试客户部署的机器的时候,部署的环境并不会部署调试工具, 当你做好最后无奈只能一边查curl文档一边敲命令的心理准备的时候,你发现curl命令还没有装。然而客户的内网机器不允许外网……2 续章: 解脱之法这些问题说到底只是http协议本身,前、端后开发人员三者之间确实存在巨大的鸿沟,导致沟通成本巨大。这里就需要我好好地来润滑一下了。我采取的方法是:约定好最常...

    2017年09月14日 470 0
  • 代码审计之Catfish CMS v4.5.7后台作者权限越权两枚+存储型XSS一枚

    首先本地搭建环境,我所使用的是Windows PHPstudy集成环境。使用起来非常方便。特别是审计的时候。可以任意切换PHP版本。                                      ...

    2017年09月12日 454 0
  • asp代码审计

    今天给大家带来的是asp程序的代码审计,asp和aspx代码审计来说,有很多相同的地方。 正好今天要交任务,最近的目标站的子域名使用了这个cms,但是版本不一定是这个,好累。                               &nbs...

    2017年09月11日 1033 0
  • AndroidManifest.xml文件安全探索

    本文作者:i春秋签约作家——icq8756c1a2最近在做一些apk的安全检测,对AndroidManifest.xml文件进行了研究和探讨,介绍AndroidManifest.xml文件的作用和架构,并研究了AndroidManifest.xml配置文件存在的一些漏洞,在进行安全检测时,可以对症下药。0X00 AndroidManifest.xml文件作用   Android...

    2017年09月05日 610 0
  • 从getwebshell到绕过安全狗云锁提权再到利用matasploit进服务器

    本文作者:i春秋签约作家——酷帥王子一、 利用getwebshell篇首先对目标站进行扫描,发现是asp的,直接扫出网站后台和默认数据库,下载解密登陆如图:下面进后台发现有fckeditor,而且还是iis6.0的,可以考虑创建个asp目录来构造解析(fck编辑器路径被改成别的需要burpsuite抓包的时候看到)下面我们构造一个asp目录,如:http://www.xxoo.com/manage...

    2017年09月04日 3837 0
  • 命令注入和一个分享

    本文作者:i春秋签约作家——夏之冰雪系统命令注入是常见的一类漏洞,攻击者可以绕过业务本身,在服务器上执行一个或多个系统命令。在详细介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同。他们的区别在于,远程代码执行实际上是调用服务器网站代码进行执行,而命令注入则是调用操作系统命令进行执行。 虽然最终效果都会在目标机器执行操,但是他们还是有区别的,基于这个区别,我们如何找到并利用方式也是有...

    2017年09月04日 1619 0

联系我们

邮件:root@secfree.com