登陆 注册
  • 记朋友的博客被黑分析的过程

    AdminAdmin 2020-02-24

    一朋友,联系我说他的博客被黑了,让我帮忙看看问题在哪儿,对此,也分享一下日志分析中的一些经验。当然其中也有一些曲折经历,暂且就不说了。而我的朋友被黑了好几天才告诉我 一次血腥的经历发现网站被挂马了 腾讯也给朋友发安全警告了  我第一反应先让他关站 我登上他的服务器 因为他的服务器用的阿帕奇的 我就去找阿帕奇的 日志发现网站一直有...

    已有475人围观 ,发现 0个评论
  • CSRF漏洞的挖掘和利用教程

    AdminAdmin 2020-03-29

    0x01 CSRF的攻击原理CSRF 百度上的意思是跨站请求伪造,其实最简单的理解我们可以这么讲,假如一个微博关注用户的一个功能,存在CSRF漏洞,那么此时黑客只需要伪造一个页面让受害者间接或者直接触发,然后这个恶意页面就可以使用受害者的微博权限去关注其他的人微博账户。CSRF只要被批量化利用起来其危害还是比较大的。举个例子,比如笔者在新浪首页执行...

    已有6人围观 ,发现 0个评论
  • 致远OA漏洞教程+POC

    AdminAdmin 2020-03-26

    验证漏洞若 http://www.yir6.cn/seeyon/htmlofficeservlet回显DBSTEP V3.0     0               21 ...

    已有19人围观 ,发现 0个评论
  • 审计一次Panda cms

    AdminAdmin 2020-03-26

    PandaCMS是由BpNet带领技术团队用一年多时间开发的旅行社网站管理系统。Pandao CMS非常容易的建立和管理个人/企业网站Pandao CMS号称有多项符合人体工程学的功能(虽然对这个概念不是很理解),但是在产品特点里看到的内容还是不错的,例如快速安装,容易定制,使用方便,Inuitive管理面板,轻松创建页面,子页面,文章和选择布局,功能强大的...

    已有11人围观 ,发现 0个评论
  • php代码审计

    AdminAdmin 2020-03-26

    都说bluecms是代码审计入门的香饽饽,我这个web菜鸡也来凑个热闹sql注入安装上打开目录,随便点了一个ad_js.php里面有个sql语句$ad = $db->getone("SELECT * FROM ".table('ad')." WHE...

    已有13人围观 ,发现 0个评论
  • 常见的端口漏洞

    AdminAdmin 2020-03-26

    FTP      匿名访问,弱口令    SSH      弱口令登录    Telnet   弱口令登录    ...

    已有22人围观 ,发现 0个评论
  • 谈一谈文件上传漏洞

    AdminAdmin 2020-03-22

    0x01 文件上传漏洞概念由于文件上传功能实现代码没有严格限制用户上传的文件后缀、文件头、文件内容等,导致允许攻击者向某个可通过Web访问的目录上传任意脚本文件(jsp/php/asp等),并能够姜这些文件传递给服务器解释执行,最终可以在远程服务器上执行任意代码脚本,进而控制WEB服务器。0x02 客户端漏洞  &nb...

    已有16人围观 ,发现 0个评论
  • 浅谈sql注入

    AdminAdmin 2020-03-21

    SQL,全名结构QueryLanguage翻译成结构化查询语言是一种特殊用途的编程语言。是数据库查询和编程语言SQL语言的主要功能是与各种数据库建立联系和交流基本网络攻防问题让我们谈谈SQL注入攻击。01什么是SQL注入?SQL注入是黑客对数据库进行攻击的常用手段之一随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水...

    已有18人围观 ,发现 0个评论
  • 如何辨别网站是伪静态还是静态?

    AdminAdmin 2020-03-17

    为什么选用伪静态?因为快 因为想成为3ms的男人 伪静态相对动态比较安全些 比如 think dedecms zblog 骑士cms wp 那个cms没有爆出过漏洞?? 我给你一个纯静态页面 很难有思路去入侵吧?静态网页和动态网页各有其特点,动态网页或静态网页的使用主要取决于网站的功能要求和网站内容的数量,如果网站的功能相对简单,内容更新...

    已有23人围观 ,发现 0个评论
  • Web安全之XSS漏洞

    AdminAdmin 2020-03-16

    XSS: (Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。一、产生原因假如有下面一个textboxPHP...

    已有18人围观 ,发现 0个评论
  • 宝塔登录处存在xss

    AdminAdmin 2020-03-14

    在6.x linux版本宝塔面板当中当中,相对与5.x版本,记录了验证码错误并存入数据库当中,存储xss缺陷就是在此处产生。我们直接看漏洞代码。直接分析post请求部分。代码如下:我们可以看到这里首先判断了是否有 用户名密码,然后是验证码。判断这个IP是否是有登陆失败的记录。如果大于1 记录一下,随后将错误次数大于1的用户名的和密码都进行了记录。从数据库中读...

    已有35人围观 ,发现 0个评论
最新留言
蚁人QQ二维码
蚁人QQ二维码
不容错过
Powered By 蚁人博客