欢迎来到【血梦博客】 今天是:2020年10月23日 星期五
站长联系QQ:635948183

  • 一句话木马的套路

    一句话木马的套路

    一句话木马的套路0×01 前言 尽最大努力在一文中让大家掌握一些有用的 WEBSHELL 免杀技巧。 0×02 关于 eval 于 assert 关于 eval 函数在 php 给出的官方说明是 eval 是一个语言构造器而不是一个函数,不能被 可变函数 调用...

    阅读全文 作者:血梦 日期:2019-02-22 分类: 渗透测试

  • Web中间件常见漏洞总结

    Web中间件常见漏洞总结

    Web中间件常见漏洞总结一、 常见web中间件及其漏洞概述 (一) IIS 1、PUT漏洞 2、短文件名猜解 3、远程代码执行 4、解析漏洞 (二) Apache 1、解析漏洞 2、目录遍历 (三) Nginx ...

    阅读全文 作者:血梦 日期:2019-02-22 分类: 渗透测试

  • 系统安全之SSH入侵的检测与响应

    系统安全之SSH入侵的检测与响应

    系统安全之SSH入侵的检测与响应一、前言 作为系列文章的第一篇https://www.freebuf.com/es/193557.html 介绍了攻防系统的整个环境和搭建方法,按照这篇文章应该是可以把整个环境搭建完毕的.。在这篇文章中还介绍到了课程大纲包含主机安全、web安全、后门/木马等等,下面就让我们开始...

    阅读全文 作者:血梦 日期:2019-02-18 分类: 渗透测试

  • 为Nginx加入一个使用深度学习的软WAF

    为Nginx加入一个使用深度学习的软WAF

    为Nginx加入一个使用深度学习的软WAF一、前言 本文介绍如何向Nginx增加了一个使用Tensorflow C库的软WAF模块,模块主体基于Naxsi。 二、获取数据及训练数据 这里,之前有Dalao发表过这样一篇文章:基于卷积神经网络的SQL注入检测。 这是一个开源的项目,但是由于速度的...

    阅读全文 作者:血梦 日期:2019-02-18 分类: 编程相关

  • 浅谈CSV注入漏洞

    浅谈CSV注入漏洞

    浅谈CSV注入漏洞背景 某天在逛expdb时候看到了CSV Injection的exp,在渗透测试的过程中也偶尔会遇到类似的情况,这一漏洞很早之前就出现过,但是很多人没有意识到漏洞的危害性,于是抱着学习的心态进行了一波漏洞复现和学习。 漏洞介绍 CSV公式注入(CSV...

    阅读全文 作者:血梦 日期:2019-02-18 分类: 渗透测试

  • Rex:栈溢出之Exploit自动生成

    Rex:栈溢出之Exploit自动生成

    Rex:栈溢出之Exploit自动生成Rex 是由 Shellphish 开发的自动化漏洞利用引擎,设计初衷在于参加 Cyber Grand Challenge。本文以栈溢出为例,展示 Rex 自动生成 Exploit 的能力。测试样例为 Linux 下可执行程序 vuln_stacks...

    阅读全文 作者:血梦 日期:2019-02-18 分类: 渗透测试

  • 挖洞经验丨看我如何挖到多个D-LINK高危漏洞

    挖洞经验丨看我如何挖到多个D-LINK高危漏洞

    挖洞经验丨看我如何挖到多个D-LINK高危漏洞近期,360企业安全集团代码卫士团队安全研究人员发现友讯(D-LINK)公司旗下产品系列DIR-619、DIR-605系列路由器的两个高危安全漏洞(CVE-2018-20056和CVE-2018-20057),并第一时间向友讯(D-LINK)公司汇报,协助其修复漏洞。 DIR-605及D...

    阅读全文 作者:血梦 日期:2019-02-15 分类: 渗透测试

  • Java Web安全之代码审计

    Java Web安全之代码审计

    Java Web安全之代码审计信息安全的75%发生在Web应用而非网络层。本文内容主要以Java Web安全-代码审计为中心展开。 一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是...

    阅读全文 作者:血梦 日期:2019-02-12 分类: 渗透测试

  • 对 XSS 的一次深入分析认识

    对 XSS 的一次深入分析认识

    对 XSS 的一次深入分析认识随着时间的推移,Web应用漏洞的类型在不断演变,但年复一年持续存在且影响广泛的漏洞仍然还属XSS漏洞。长期以来,XSS漏洞算是非常常见的安全问题,以至于对大多数人来说,即使一个新的XSS漏洞被披露,但从内心来说,早已习已为常。本文深入描述XSS攻击在几种实际环境中的应用,同时顺带提到了一些XSS攻击...

    阅读全文 作者:血梦 日期:2019-02-12 分类: 渗透测试

  • 挖洞经验 | 如何利用postMessage窃取编辑用户的Cookie信息

    挖洞经验 | 如何利用postMessage窃取编辑用户的Cookie信息

    挖洞经验 | 如何利用postMessage窃取编辑用户的Cookie信息某天,当我在做某个项目的漏洞测试时,在登录的一些HTTP请求记录中,我发现了一种利用postMessage方式窃取和编辑用户Cookie的方法。由于该测试是邀请测试,出于保密,我只能在下文中和大家分享一些方法思路。 postMessage介绍 相信大家都听过不同窗口之间的通信...

    阅读全文 作者:血梦 日期:2019-02-02 分类: 渗透测试

  • 活活将黑产搞崩溃的教务系统,你的母校可能在列

    活活将黑产搞崩溃的教务系统,你的母校可能在列

    活活将黑产搞崩溃的教务系统,你的母校可能在列院校政府网站一直是黑产眼中的金矿,但作为高校教务系统重要一环,选课系统却鲜有黑产惦记。这背后到底有哪些鲜为人知的故事呢? 我们有幸邀请到曾在某985教务处任职的A君,以及大学生代表B妹,围绕最近微博热议的高校选课系统,聊聊事件背后一些有趣的故事。微博某大V在上周发布了一篇有关高校选课的内...

    阅读全文 作者:血梦 日期:2019-02-02 分类: 界内新闻

关灯