关注我们
QRcode 邮件联系 新浪微博
分类:web安全
2FA双因素认证之Authy

2FA双因素认证之Authy

‍ ‍ 现如今网络环境越来越复杂,黑客的攻击手段多样化,发生了越来越多的账号密码泄露事件,从而威胁到用户信息甚至财产安全。在如此复杂的安全形势下,我们需要考虑更多的是用户信息的... ‍ ‍

在Web服务器防止Host头攻击

‍ ‍ 前言
访问网站时如果访问路径中缺少/,大多数中间件都会自动将路径补全,返回302或301跳转如下图,Location位置的域名会使用Host头的值。
这种情况实际上风险较低,难以构成Host头... ‍ ‍

当Strust2遇到防火墙,你的思路够骚吗?

‍ ‍ *本文原创作者:道恩先生666,本文属FreeBuf原创奖励计划,未经许可禁止转载
一、背景
偶然碰到一个小站存在st2-046代码远程执行漏洞,心里美滋滋。


执行whoami查看自己是什么权... ‍ ‍

又一个登陆框引起的血案

‍ ‍ *本文作者:丶楼兰,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

继上次登陆框引起的血案这个文章之后,时隔一个月笔者又写了续集,呃……升华版。
0×00 文章内容结构图... ‍ ‍

XXE漏洞利用技巧:从XML到远程代码执行

‍ ‍ 你的Web应用是否存在XXE漏洞?
如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非... ‍ ‍

基于Golang打造开源的WAF网关

‍ ‍ 背景
在互联网行业,Google将安全做到基础设施里面,素来是各大公司学习的榜样,在Web方面,通过GFE (Google Front-End) 统一对外发布,业务只需要在GFE登记,GFE就会调取正确的证书,保... ‍ ‍
探索基于.NET下实现一句话木马之SVC篇

探索基于.NET下实现一句话木马之SVC篇

‍ ‍ 0×01 前言
本文是探索.NET三驾马车实现一句话木马的完结篇,如果前两篇没有看的同学可以浏览FreeBuf 地址(ashx一句话、asmx一句话),至于这三篇文章包含的代码片段已经同步... ‍ ‍

Hongcms 3.0.0后台SQL注入漏洞分析

‍ ‍ * 本文作者:BlackWater,本文属FreeBuf原创奖励计划,未经许可禁止转载。
一、背景介绍
HongCMS是一个轻量级的中英文企业网站系统,访问速度极快,使用简单,程序代码简洁严谨,功能强大... ‍ ‍
Java代码审计丨某开源系统源码审计

Java代码审计丨某开源系统源码审计

‍ ‍ *本文作者:黑客小平哥,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

java源代码审计相关资料一直比较少,今天抽空给大家写一篇简单的开源代码审计,这是个做公司网站的开源模... ‍ ‍
探索基于.NET下实现一句话木马之Asmx篇

探索基于.NET下实现一句话木马之Asmx篇

‍ ‍ 0×01 前言

上篇介绍了一般处理程序(ashx)的工作原理以及实现一句话木马的过程,今天接着介绍Web Service程序(asmx)下的工作原理和如何实现一句话木马,当然介绍之前笔者找到... ‍ ‍

天融信关于CVE

‍ ‍ 一、背景介绍
WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVA EE架构的中间件, WebLogic是用于开发、集成、部署和管理大型分布式Web应用、... ‍ ‍
Game

Game

‍ ‍ 0×00 说明
虚拟机地址:https://www.vulnhub.com/entry/game-of-thrones-ctf-1,201/
这个靶机的难度较高,过程并不是一气呵成,所以经过了多次更换网络和IP的过程,ip略有混乱... ‍ ‍
打造刀郎安全PHP系统

打造刀郎安全PHP系统

‍ ‍ *本文原创作者:刀郎,本文属FreeBuf原创奖励计划,未经许可禁止转载

有一段时间没有露面的,现在出来和各位打个招呼,今天给大家带来话题是打造安全php系统,web安全防不胜防,那么我们... ‍ ‍

某入群题之命令执行字符限制绕过(WEB100)

‍ ‍ 某入群题又来啦!由于之前刚好做了下hitcon的两个命令执行绕过,问了下pcat能不能写这篇文章。然后他说随便我…..这里就记录一下。看题!


类似上次的两题,只是这次字符长度... ‍ ‍

挖洞经验 | 连接多个漏洞获取管理员访问权限

‍ ‍ 在几个月前,我有幸被邀请参加了HackerOne上的一个私人项目。该项目受到一系列IDOR漏洞的影响,通过对这些漏洞的利用,我成功接管了他们的一个应用。由于保密协议的限制,因此在本... ‍ ‍
一次友好的渗透测试

一次友好的渗透测试

‍ ‍ *本文原创作者:Backspaces,本文属FreeBuf原创奖励计划,未经许可禁止转载
那天去参加了FreeTalk2018的线下活动,还不错哈哈,也希望多搞几场这样的活动,作为小白的我还是非常渴望看... ‍ ‍