关注我们
QRcode 邮件联系 新浪微博
分类:web安全
  钓鱼网站擒拿小记

钓鱼网站擒拿小记

‍ ‍ 2018.04.08 晚 19:18

又是一个寂静无人的夜晚,本通正在被Boss苦逼压榨自己的剩余劳动价值的时候,突然公司老铁在群里发了一条微信。点进去是一条新闻,大概述说了男主人公(以下... ‍ ‍
  有趣的闪存:通过实践分析意外内存泄漏

有趣的闪存:通过实践分析意外内存泄漏

‍ ‍ 写在前面的话
在这篇文章中,我们将对闪存进行分析。我的实验目标是一台别人“捐赠”过来的Netcomm N300路由器,在进行了深入研究之后,我可以通过修改设备闪存的读入操作并从... ‍ ‍
  通过F5 BIG

通过F5 BIG

‍ ‍ 早前有技术社区发布了文章《解码F5负载均衡产品持久性Cookie探测内网IP》,其中讲解了通过解码F5 BIG-IP LTM的Cookie来发现目标服务器真实内网IP。简单来说就是,F5负载均衡产... ‍ ‍
  由Three Hit聊聊二次注入

由Three Hit聊聊二次注入

‍ ‍ 之前参加“强网杯”,学到了不少姿势,其中的web题three hit印象深刻,考的是二次注入的问题,这里对二次注入尝试做一个小结。
0×01什么是二次注入?
所谓二次注入是指已存储(数据库... ‍ ‍
  C0594组织恶意挖矿攻击,已攻陷数千个网站

C0594组织恶意挖矿攻击,已攻陷数千个网站

‍ ‍ 0×1 概况

腾讯御见威胁情报中心近期监测发现,包括传统企业、互联网公司、学校和政府机构等在内的多个网站网页被植入挖矿JS脚本。经分析,该批站点中的核心JS文件被注入恶意... ‍ ‍

DELPHI黑客编程(二):反弹后门原理实现

‍ ‍ *本文原创作者:5ecurity,本文属FreeBuf原创奖励计划,未经许可禁止转载
PS:本文仅作为技术讨论分享,严禁用于任何非法用途。

前言

上一节主要是通过DELPHI实现了一个正向连接的... ‍ ‍

最通俗易懂的PHP反序列化原理分析

‍ ‍ * 本文作者:你会忘了我,本文属FreeBuf原创奖励计划,未经许可禁止转载
0×01写在前面
PHP反序列化漏洞虽然利用的条件比较苛刻,但是如果可以利用一般都会产生很严重的后果。在春... ‍ ‍
  新型攻击手法:利用XSS绕过WAF进行SQL注入

新型攻击手法:利用XSS绕过WAF进行SQL注入

‍ ‍ *本文作者:风之传说,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

0×00 前言
看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我... ‍ ‍
  一名代码审计新手的实战经历与感悟

一名代码审计新手的实战经历与感悟

‍ ‍ * 本文作者:Ka1ier,本文属FreeBuf原创奖励计划,未经许可禁止转载
blueCMS介绍
个人认为,作为一个要入门代码审计的人,审计流程应该从简单到困难,逐步提升。因此我建议大家的审计流... ‍ ‍
  RPO攻击方式的探究

RPO攻击方式的探究

‍ ‍ RPO攻击方式的探究
2018强网杯有一道web题目,看似简单实则暗藏玄机,很早就放出来但是直到比赛结束分数一直居高不下,考察的重点就是RPO漏洞的利用,你对RPO又了解多少?
什么是RPO?... ‍ ‍
  DELPHI黑客编程(一):正向后门原理实现

DELPHI黑客编程(一):正向后门原理实现

‍ ‍ *本文原创作者:5ecurity,本文属FreeBuf原创奖励计划,未经许可禁止转载
PS:本文仅作为技术讨论分享,严禁用于任何非法用途。
前言
在渗透测试中经常用到远控、后门等辅助后渗透权... ‍ ‍
  看我如何利用PowerBroker来防止横向渗透

看我如何利用PowerBroker来防止横向渗透

‍ ‍ 毫无疑问,任何一个组织或公司都有可能受到网络攻击。攻击者可能已经盯上你很久了,并策划对你的组织发动一场有针对性的攻击,或者说他们也有可能通过社工技术或网络钓鱼攻击来... ‍ ‍

另一种绕过限制下载论文的思路

‍ ‍ *本文作者:过客匆匆打酱油,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

看到首页上一种绕过限制下载论文的思路的文章,刚好笔者前几天给小学妹做了一个下载器,也凑热闹来讨... ‍ ‍
  PHP弱类型引发的漏洞实例

PHP弱类型引发的漏洞实例

‍ ‍ *本文作者:补丁君,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

我们知道PHP 是一门弱类型语言,不必向 PHP 声明该变量的数据类型,PHP 会根据变量的值,自动把变量的值转换为... ‍ ‍
  $_SERVER[SCRIPT_NAME]变量可值注入恶意代码

$_SERVER[SCRIPT_NAME]变量可值注入恶意代码

‍ ‍ $_SERVER['SCRIPT_NAME']变量在路由传参时,可引入恶意代码,从而导致xss以及恶意代码注入。
PS:本文仅做技术讨论与分享,严禁用于任何非法用途。
$_SERVER['SCRIPT_NAME']变... ‍ ‍