关注我们
QRcode 邮件联系 新浪微博
分类:web安全
如何使用基于整数的手动SQL注入技术

如何使用基于整数的手动SQL注入技术

‍ ‍ 今天,我将教大家如何使用基于整型的手动SQL注入技术来对MySQL数据库进行渗透测试。提醒一下,这是一篇写给newbee的文章。话不多说,我们直奔主题!
SQL注入线上实验室
1. 初学者... ‍ ‍
IKEA.com本地文件包含漏洞之PDF解析的巧妙利用

IKEA.com本地文件包含漏洞之PDF解析的巧妙利用

‍ ‍ 背景
本地文件包含(LFI)漏洞是一种危害性较大的漏洞类型。一旦出现攻击者将可能利用其,读取文件源码或敏感信息,包含恶意文件,执行任意代码,甚至控制服务器等。大多数LFI攻击都是... ‍ ‍

无字母数字Webshell之提高篇

‍ ‍ *本文原创作者:phithon,本文属FreeBuf原创奖励计划,未经许可禁止转载
前几天有同学提出了一个问题,大概代码如下:
<?php
if(isset($_GET['code'])){
$code = $_GET['code'];... ‍ ‍

BSidesTLV 2018 CTF WriteUp(附CTF环境)

‍ ‍ 0&#215;01 前言
BSidesTLV 2018 CTF是2018年6月19日的一次CTF比赛,本来这个WriteUp早就想写了,但是比赛结束没环境复现,直到最近发现官方居然放出了比赛环境。
CTF比赛环境下... ‍ ‍

前端安全系列(一):如何防止XSS攻击?

‍ ‍ 前端安全

随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF... ‍ ‍

技术讨论 | 如何在Chrome中使用即时支付功能

‍ ‍ 严正声明:本文仅限于技术讨论,严禁用于其他用途。


话不多说,我们直奔主题!
当时我在研究Chrome支付处理API(PaymentHandler API)的时候,我发现了下面这句话:
Chrome还支持一个非标... ‍ ‍

命令执行WAF绕过技巧总结

‍ ‍ *本文作者:zusheng,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
前言
如今市面上的WAF几乎都已经具备了针对RCE攻击的防御能力,这些WAF并不是想象中毫无破绽,当Web服务器是L... ‍ ‍

技术讨论 | 自动化Web渗透Payload提取技术

‍ ‍ PS:本文仅作技术讨论,禁止用于其他非法用途
*本文原创作者:zhanghaoyil,本文属FreeBuf原创奖励计划,未经许可禁止转载
0&#215;0 写在前面

做Web安全已经三四年了,从最初的小白到... ‍ ‍

天融信关于ThinkPHP 5.1.x SQL注入漏洞分析

‍ ‍ 一、背景介绍
ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出... ‍ ‍

浅谈PHP安全规范

‍ ‍ *本文作者:littlepotato,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
前言
php因天生支持web应用的开发,以其简单易学,开发效率高而备受喜爱。使其占据了大片的市场。但是ph... ‍ ‍
代码自动化扫描系统的建设(下)

代码自动化扫描系统的建设(下)

‍ ‍ 上一篇文章《代码自动化扫描系统的建设(上)》 主要介绍了自动扫描系统的背景和要实现的目标,这篇里我们将会详细介绍各个层与模块的设计。
一、系统设计
1.1 基础与准备
这里... ‍ ‍

揭秘网络犯罪分子如何利用区块链隐藏自己

‍ ‍ 自从2017年执法部门取缔了AlphaBay和Hansa这两个暗网市场之后,引发了人们对暗网市场前景的大量猜测。正如我们之前所讨论的那样,恐惧和不信任的氛围正在趋驱使网络犯罪社区采... ‍ ‍
网页挂马常见漏洞分析与检测

网页挂马常见漏洞分析与检测

‍ ‍ 一、CVE-2018-8373漏洞的初步分析
2018年8月15日,趋势科技披露了他们发现的一起浏览器漏洞攻击事件。在检测到的攻击流量中,攻击者使用了cve-2018-8373这个漏洞来攻击IE浏览器... ‍ ‍

HackerOne | 子域名劫持漏洞的挖掘指南

‍ ‍

在HackerOne实时更新的公开漏洞推送Hacktivity消息中,我们可以发现,其中的子域名劫持漏洞(Subdomain Takeover)占比不少。自从2014年Detectify实验室发布了一系列子域名劫... ‍ ‍

代码自动化扫描系统的建设(上)

‍ ‍ 代码审计一直是企业白盒测试的重要一环,面对市场上众多商业与开源的审计工具,你是否想过集众家之所长来搭建一套自动化的扫描系统呢?也许这篇文章会给你一些思路:)
一、背景
1.... ‍ ‍
Webshell入侵检测初探(一)

Webshell入侵检测初探(一)

‍ ‍ 0&#215;01:Webshell简介
攻击者在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。常见攻击方式有:直接上传获取webshel... ‍ ‍

基于机器学习的WEB攻击分类检测模型

‍ ‍ 机器学习目前已有很多创新应用,例如攻防对抗、UEBA以及金融反欺诈等。基于机器学习的新一代WEB攻击检测技术有望弥补传统规则集方法的不足,为WEB对抗的防守端带来新的发展和突... ‍ ‍
通过SSTI漏洞获取服务器远程Shell

通过SSTI漏洞获取服务器远程Shell

‍ ‍ PS:本文仅作为技术分享,禁止用于任何非法用途
本文我将为大家演示,如何利用服务器端模板注入(SSTI)漏洞,来获取应用托管服务器上的shell。
模板引擎(这里特指用于Web开发的模板引擎... ‍ ‍