登陆 注册
  • 记朋友的博客被黑分析的过程

    AdminAdmin 2020-02-24

    一朋友,联系我说他的博客被黑了,让我帮忙看看问题在哪儿,对此,也分享一下日志分析中的一些经验。当然其中也有一些曲折经历,暂且就不说了。而我的朋友被黑了好几天才告诉我 一次血腥的经历发现网站被挂马了 腾讯也给朋友发安全警告了  我第一反应先让他关站 我登上他的服务器 因为他的服务器用的阿帕奇的 我就去找阿帕奇的 日志发现网站一直有...

    已有475人围观 ,发现 0个评论
  • php代码审计

    AdminAdmin 2020-03-26

    都说bluecms是代码审计入门的香饽饽,我这个web菜鸡也来凑个热闹sql注入安装上打开目录,随便点了一个ad_js.php里面有个sql语句$ad = $db->getone("SELECT * FROM ".table('ad')." WHE...

    已有13人围观 ,发现 0个评论
  • 如何辨别网站是伪静态还是静态?

    AdminAdmin 2020-03-17

    为什么选用伪静态?因为快 因为想成为3ms的男人 伪静态相对动态比较安全些 比如 think dedecms zblog 骑士cms wp 那个cms没有爆出过漏洞?? 我给你一个纯静态页面 很难有思路去入侵吧?静态网页和动态网页各有其特点,动态网页或静态网页的使用主要取决于网站的功能要求和网站内容的数量,如果网站的功能相对简单,内容更新...

    已有23人围观 ,发现 0个评论
  • SQL注入绕过waf那些事

    AdminAdmin 2020-03-14

     众所周知互联网越来越发达 网站安全系数越来越高 现在网站的安全狗是必不可少的  比如知名的D盾 360 wafsafe 等 sql注入也是导致网站入侵的重要途径为什么要采用WAF? 因为安全 因为可以更放心 那怎么才能绕过那??蚁人博客就给大家 带来sql注入绕过Waf那些技术1.大小写绕过2.简单编码绕过3.注释绕过4.分隔...

    已有38人围观 ,发现 0个评论
  • hackRF嗅探GSM网络+捕捉器IMSI号

    AdminAdmin 2020-03-14

    在本文中,我们将讲述如何使用hackRF嗅探GSM网络的特定频率信号,并能够获取到解码之后的GSM网络流量。系统基于ubuntu18.x背景介绍前段时间,当我的朋友兼同事Simone访问我们的ZIMPERIUM(一个企业移动安全TLV办公室)时,刚好手头上有一个HackRF,所以就和他一起尝试黑掉一个不设防的无线电频率设备。Simone很有耐心地尝试并向我解...

    已有23人围观 ,发现 0个评论
  • 一次XSS绕过D盾经历

    AdminAdmin 2020-03-11

    waf这款waf更新的很快,年前有个bypass注入的视频,提到waf对cookie检查不严,过段时间waf就更新。我写这种本地测试bypass文章时,总有感觉就是自嗨,这对实战有没有意义,我还记得搞xss绕过,是因为我在x某个webshell箱子时,D盾拦截了,我就开始研究了一波绕过。实站中xss的点很苛刻的,就很多时候本地测试bypass就像玩靶机一样,...

    已有47人围观 ,发现 0个评论
  • Burp Suite扫描器漏洞扫描功能介绍及教程

    AdminAdmin 2020-03-11

    编辑:BurpSuite是一个Web应用集成攻击平台,它包含了一系列的BUP工具,这些工具具有大量的接口相互通信,本设计的目的是为了提升和提高整个攻击的效率。"平台中的所有工具共享相同的健壮框架,用于统一处理HTTP请求、持久性、身份验证、上游代理、日志记录、警报和可扩展性。BurpSuite允许攻击者结合手动和自动技术来枚举、分析和攻击Web应用...

    已有24人围观 ,发现 0个评论
  • Badusb制作插谁谁怀孕

    AdminAdmin 2020-03-11

    Badusb 物理黑客必备详细的我也不介绍了 能看这文章说明你都懂!简单说下攻击流程:Bad-Usb插入后,会模拟键盘对电脑进行操作,通过这些操作打开电脑的命令终端,并执行一条命令,这条命令将从指定网址下载恶意代码(通常为powershell脚本)并于后台静默运行。这些代码功能包括:窃取信息、反弹shell、发送邮件等,从而实现控制目标机或者窃取信息的目的。...

    已有30人围观 ,发现 4个评论
  • json数组的CSRF利用分析

    AdminAdmin 2020-03-07

    问题引出在CSRF中,经常遇到提交的数据包是json数组的,这种类型的CSRF不能直接使用Burp生成的POC进行测试。后来在hackone上看到了一个方法,将from的ENCTYPE属性设置为text/plain时,json数组仍能被服务器接收。这个报告的地址为JSON CSRF on POST Heartbeats API但是在最近刷SRC的过程中,笔者...

    已有35人围观 ,发现 0个评论
  • 挖洞经验 | 漏洞就在那里,在那显眼之处

    AdminAdmin 2020-03-04

    *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。众所周知,漏洞众测并不是一个容易入行并取得成就的领域,顶尖的白帽黑客不仅有沉浸多年的挖洞经验,而且还精通安全技术。现实中,为了鼓励人们发现漏洞,厂商的众测项目目标一般都具备较强的安全措施。很多时候对于我们大多数新手来说,由于测试目标的安全加固非...

    已有33人围观 ,发现 0个评论
  • 怎么才能拿到别人JS

    AdminAdmin 2020-02-23

    此教程仅对于萌新,大佬勿喷,小弟蚁人在这里奉上教程    方法1:首先依我网站为例这种蜘蛛网:首先右键查看源代码 也可以在网站前面加上view-source:https://www.yir6.cn/ 这里view-source中文翻译就是查看源:我看看我们这个js 这里有条数 就找条数相关的js 这些都是JS...

    已有246人围观 ,发现 0个评论
最新留言
蚁人QQ二维码
蚁人QQ二维码
不容错过
Powered By 蚁人博客