-
[站外广告]业务列表介绍和一般分类
业务列表介绍和一般分类:类别:攻击入侵破解开发1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量]2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。[接受授权的业务] ...
-
ThinkPHP 3.2.3 漏洞复现
0x00$this->show造成命令执行在Home\Controller\IndexController下的index中传入了一个可控参数,跟进调试看一下。classIndexControllerextendsController{publicfunctioni...
-
1.06亿条泰国游客的个人数据,发生泄露
安全研究人员发现网上暴露了一个不安全数据库,其中包含了数百万泰国游客的个人信息。9月21日,据securityaffairs披露,网络安全研究BobDiachenko在网上发现,他的个人数据存储在一个未受保护的Elasticsearch数据库中,数据库还包含了超过1.06亿条泰国游客的个人信息。...
-
揭秘起底裸聊敲诈这一套
│├──bj.png│├──src_images_but_dianz_n.png│├──src_images_but_dianz_s.png│├──src_images_but_guanb.png│├──src_images_but_shouc_n....
-
OWASP Top 10 2021 榜单出炉!
近日,OWASP从贡献者提供的数据中选择了8个类别,从高水平的行业调查中选择了2个类别,完成了最新的OWASPTop102021榜单。OWASP表示,“我们这么做的根本原因是,分析贡献者提供的数据就是回顾过去。AppSec研究人员花时间寻找新的漏洞和测试它们的新方法。将这些测试集成到工具与流...
-
记一次应急响应到溯源入侵者
1.前言今年的某月某日,系统监测到客户的一企业官网www.******.com遭到了网页篡改,经过人工确认将浏览器的UA替换为百度UA后访问网站,此时网站链接自动跳转至赌博类违规网站,当日上午随即受到客户的召唤,立刻赶往客户单位进行初步检查,并将相关日志文件及样本拷回做进一步分析。2.事件分析因...
-
漏洞分析:OpenVAS中的本地提权漏洞
写在前面的话虽然本文涉及到的并非一个常见的场景,但如果在渗透测试过程中,你可以通过一个拥有sudo权限的用户来执行OpenVAS的话,你就可以利用本文介绍的技术来实现提权并拿到root。在这篇文章中,我们将介绍ixie关于OpenVAS工作流的内容,然后深入探讨如何利用其中存在的问题实现本地权限提升...
-
如何使用PatchChecker来检测Windows漏洞
PatchCheckerPatchChecker是一款基于Web的Windows漏洞检测工具,该项目代码目前以网络服务的形式托管在https://patchchecker.com上。简而言之,PatchChecker是一个基于Flask实现的Web应用程序,它所提供的输出内容类似于Watson。但是...
-
Python黑客学习笔记:从HelloWorld到编写PoC(中)
目录0x3–Fuzzer(编写fuzz测试脚本)0x4–PythontoEXE(生成exe)0x5–WebRequests(用Python处理Web请求)0x3–Fuzzer(编写fuzz测试脚本)Fuzz(Fuzz-testing测试是利用“暴力“来实现对目标程...
-
Python黑客学习笔记:从HelloWorld到编写PoC(上)
本系列文章适合CS在读学生和万年工具党,本文会在英文原文的基础上做些修改,并适当增加些解释说明。本篇包含原文的前几部分:0x0–GettingStarted-从零开始0x1–GettingStartedPt.2-进阶0x2–PortScanner...
-
简谈PHP漏洞与代码审计
PHP漏洞确实存在,今天我们就扒一扒这些漏洞。在甲方公司做代码审计一般还是以白盒为主,漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。1.xss+sql注入其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件...
-
PHP安全:变量的前世今生
摘要变量安全是PHP安全的重要部分,本文系统地分析了一个变量的“人生之旅”中存在哪些安全问题。变量的人生之路:传入参数-->变量生成-->变量处理->变量储存。Part1传入参数传参是一个从前台通过GET或者POST方法传递参数的过程,在这里我们往往会遇到URL-WAF的安全判断...
-
Java Web安全之代码审计
信息安全的75%发生在Web应用而非网络层。本文内容主要以JavaWeb安全-代码审计为中心展开。一、JavaWeb安全基础1.何为代码审计?通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以即便只有class文件的情...
-
PHP学习(一)进入PHP的奇幻之旅
一、进入PHP的奇幻之旅1、初识PHP1.认识PHP1.什么是PHP-PHP超文本预处理器、一门服务器端的脚本语言-注意:所有的PHP文件不能双击运行,必须通过服务器来访问。2.搭建PHP开发环境LAMPLinux(操作系统Apache(服务器软件MySQL(数据库...
-
PHP学习(二 )进入PHP的奇幻之旅
1.和变量相关的几个功能删除变量的功能unset(格式unset(变量参数:要删除的变量返回值:该功能没有返回值检测变量是否设置值的功能isset(格式:返回值=isset(要检测的变量参数:要检测的变量返回值:返回检测的结果,如果该变量设置值返回true,未设置值返回fasle只要...
-
mysql注入在PHP代码层面的防御手段
前置知识什么是sql注入?服务端没有对用户提交的参数进行严格的过滤,导致可以将SQL语句插入到可控参数中,改变原有的SQL语义结构,从而执行攻击者所预期的结果。sql注入的探测判断数据库类型端口报错信息一些中间件常用的数据库PHPMySQLASPSQLServerASPXSQLServer...
-
黑帽、白帽、灰帽SEO技术大揭秘,有什么不同?
黑帽SEO在搜索引擎优化行业,一些不符合搜索引擎质量规范的优化手法,即是SEO的作弊手法,称之为“黑帽”。很多黑帽SEO是使用程序自动生成或采集网站内容,因此要建立一个几万,几十万页的网站轻而易举,不费吹灰之力,只要放蜘蛛出去抓取即可。使用黑帽SEO技术虽然可以让网站快速得到排名和流量,但同时也存在...
-
盘点黑帽SEO常用的作弊技巧
黑帽seo的定义:多年来看看BlackHat流行的SEO技术。黑帽seo实际上就是作弊的含义,黑帽seo方法不符合搜索引擎的发行准则。黑帽SEO盈利能力的主要特点是短而快的陷阱方法,用于获取短期利益。同时,由于搜索引擎算法的变化,在任何时候都会受到惩罚。多年来看看BlackHat流行的SEO技术...
-
揭秘“万词霸屏”关键词排名原理及模式
现在流传着一种技术,可以在3-7天排名首页1000个长尾关键词,并随着时间的增加排名过万的关键词,并且可以同时排名百度PC端、百度移动端、360PC端、360移动端、搜狗PC端、搜狗移动端,给可以每天给出数据统计,让客户非常直观的看到排名数据!今天为大家揭秘“万词霸屏”关键词排名原理模式。公开SEO...
-
黑帽SEO泛目录快速排名技术
主要内容:1、黑帽SEO常识讲解2、老域名选择(从年龄、外链、历史)3、网站服务器配置(Centos【安装宝塔LINUX】4、塔使用技巧及网站程序安装【基于Z-BLOG】5、白帽实战误区扫盲6、网站程序比较(dedecms,zblog,wordpress)7、单站排名思路及实战操作【养站思路】8、...
-
Web安全攻防:渗透测试实战指南 中文PDF高清版[57MB]
Web安全攻防:渗透测试实战指南中文pdf高清版[57MB]内容简介······《Web安全攻防:渗透测试实战指南》由浅入深、全面、系统地介绍了当前流行的高危漏洞的攻击手段和防御方法,并力求语言通俗易懂,举例简单明了,便于读者阅读、领会。结合具体案例进行讲解,可以让读者身临其境...