关注我们
QRcode 邮件联系 新浪微博
分类:web安全

从插件入手:挖掘流行框架的“后入式BUG”

‍ ‍ 遇WordPress头大?让我们从插件入手!
当任务目标是一个wordpress站点的时候,是否让你感到过头大?wpscan扫了半天,却没有任何有利用价值的bug,这时候就拍拍屁股走人了?
流行框架一般... ‍ ‍

某行小程序投标测试的思路和坑

‍ ‍ *本文作者:一只耗子,本文属于FreeBuf原创奖励计划,未经许可禁止转载。

先发下牢骚吧,最近看FB里面的文章,大体上往底层概念越来越多,各种挖矿木马的,还有各种难理解的概念,都没有勇... ‍ ‍

Metinfo6.0.0

‍ ‍ *本文作者:Mochazz,本文属于FreeBuf原创奖励计划,未经许可禁止转载
大家好,我是红日安全-七月火,这篇文章是以往挖掘的Metinfo漏洞,鉴于官方已修复,遂将分析文章放出。
前言
这个前... ‍ ‍

构造优质上传漏洞Fuzz字典

‍ ‍ *本文作者:gv·残亦,本文属于FreeBuf原创奖励计划,未经许可禁止转载

上传漏洞的利用姿势很多,同时也会因为语言,中间件,操作系统的不同,利用也不同。比如有:大小写混合,.hta... ‍ ‍

一次编码WebShell bypass D盾的分析尝试

‍ ‍ *本文作者:si1ence,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
前言
webshell是获得网站的控制权后方便进行之后的入侵行为的重要工具,一个好的webshell应该具备较好的隐... ‍ ‍

从MySQL出发的反击之路

‍ ‍ 某天看到 lightless 师傅的文章 Read MySQL Client’s File,觉得这个「漏洞」真的非常神奇,小小研究了一下具体的利用。
0×00 漏洞原理
几篇参考文章已经将原理... ‍ ‍

Safari信息泄露漏洞分析

‍ ‍ 前言
Javascript中的数组和数组对象一直都是编程人员优化的主要目标,一般来说,数组只会包含一些基本类型数据,比如说32位整数或字符等等。因此,每个引擎都会对这些对象进行某... ‍ ‍

研究人员欲公布微软Edge浏览器0

‍ ‍ 最近几天,据Twitter昵称为@Yux1xi(Yushi Liang)的安全研究人员透露,他计划公布一个关于微软浏览器(Microsoft Edge)的0-day漏洞,该漏洞可以实现针对Edge浏览器的远程代码执行(RCE),@Yu... ‍ ‍

SQLMap Insert注入踩坑记

‍ ‍ *本文原创作者:Conan,本文属 FreeBuf 原创奖励计划,未经许可禁止转载
前言
本篇文章是在做ctf bugku的一道sql insert盲注的题(题目地址:insert盲注)中踩到的坑,觉得还挺... ‍ ‍

一种新型的Web缓存欺骗攻击技术

‍ ‍ 为了减少WEB响应时延并减小WEB服务器负担,现在WEB缓存技术已经用的非常普遍了,除了专门的CDN,负载均衡以及反向代理现在也会缓存一部分的网页内容。这里我要介绍一种WEB缓存欺... ‍ ‍

记一次对WebScan的Bypass

‍ ‍ *本文作者:GGyao6,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
PS:此网站漏洞已被处理,本文内容仅供技术交流,严禁用于非法用途。

前言
今天测试了一个网站,发现存在... ‍ ‍

前端安全系列(二):如何防止CSRF攻击?

‍ ‍ 背景
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题... ‍ ‍
如何使用基于整数的手动SQL注入技术

如何使用基于整数的手动SQL注入技术

‍ ‍ 今天,我将教大家如何使用基于整型的手动SQL注入技术来对MySQL数据库进行渗透测试。提醒一下,这是一篇写给newbee的文章。话不多说,我们直奔主题!
SQL注入线上实验室
1. 初学者... ‍ ‍
IKEA.com本地文件包含漏洞之PDF解析的巧妙利用

IKEA.com本地文件包含漏洞之PDF解析的巧妙利用

‍ ‍ 背景
本地文件包含(LFI)漏洞是一种危害性较大的漏洞类型。一旦出现攻击者将可能利用其,读取文件源码或敏感信息,包含恶意文件,执行任意代码,甚至控制服务器等。大多数LFI攻击都是... ‍ ‍

无字母数字Webshell之提高篇

‍ ‍ *本文原创作者:phithon,本文属FreeBuf原创奖励计划,未经许可禁止转载
前几天有同学提出了一个问题,大概代码如下:
<?php
if(isset($_GET['code'])){
$code = $_GET['code'];... ‍ ‍

BSidesTLV 2018 CTF WriteUp(附CTF环境)

‍ ‍ 0&#215;01 前言
BSidesTLV 2018 CTF是2018年6月19日的一次CTF比赛,本来这个WriteUp早就想写了,但是比赛结束没环境复现,直到最近发现官方居然放出了比赛环境。
CTF比赛环境下... ‍ ‍

前端安全系列(一):如何防止XSS攻击?

‍ ‍ 前端安全

随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF... ‍ ‍