• ecshop漏洞

    AdminAdmin 2020-03-13

    ecshop目前最新版本为4.0,是国内开源的一套商城系统,很多外贸公司,以及电商平台都在使用,正因为使用的人数较多,很多攻击者都在挖掘该网站的漏洞,就在最近ecshop被爆出高危漏洞,该漏洞利用跨站伪造函数,来对网站数据库进行攻击。ecshop 漏洞详情该网站漏洞发生的根本原因是根目录下的user.php文件,在第315-365行里的代码里,该代码主要是处...

    已有187人围观 ,发现 0个评论
  • 渗透过程

    AdminAdmin 2020-02-02

    明确目标当拿到一个合法的渗透测试项目时,我们首先应该明确客户要求我们进行渗透测试的范围以及整体项目的时间。比如说,给我们的域名有哪些,ip段有哪些,哪些社工手段我们不能使用等等信息收集针对域名真实ip查询当然,如果连真实ip都没有找到的话。相当于连门都没有找到,这里最头疼的就是企业常常为了增强网页访问速度为服务加cdn,如何查看是否做了cdn?这里我们可以利...

    已有182人围观 ,发现 0个评论
  • HTTP Host头攻击的技术

    AdminAdmin 2020-02-02

    0x00 背景一般通用web程序是如果想知道网站域名不是一件简单的事情,如果用一个固定的URI来作为域名会有各种麻烦。开发人员一般是依赖HTTP Host header(比如在php里是_SERVER["HTTP_HOST"] ),而这个header很多情况下是靠不住的。而很多应用是直接把这个值不做html编码便输出到了页面中,...

    已有198人围观 ,发现 0个评论
  • 对导航建站网站进行的审计

    AdminAdmin 2020-01-26

    在网上看到一个挺好看的导航网站,发现开源了免费版,还有付费版本想着自己搭建一个安全站点导航网站,遂下载,先黑盒测试一下在本地搭建后,根据以前代码审计的经验,先体验下业务结果,没体验到几步,就发现了XSS,搜索框的反射型XSS存在问题的两个搜索的地方:https://www.yir6.cn//search.html?ks=蚁人博客https://www.yir...

    已有227人围观 ,发现 0个评论
  • 怎么在云服务器上安装MSF?

    AdminAdmin 2020-01-26

    在校园网内,禁止使用路由器之类的,所以就导致自己本地虚拟机环境出现各种各样的网络问题,解决起来过于繁琐,为此在服务器上安装MSF0x00 安装MSF使用Xshell等工具连上远程服务器后,首先确保服务器的网络是可以正常访问外网的使用curl https://www.yir6.cn/ 测试一下网络没问题,接下来命令如下// 切换目录cd /home/...

    已有216人围观 ,发现 0个评论
1
最新留言
请关注微信公众号
微信二维码
不容错过
Powered By 蚁人博客