关注我们
QRcode 邮件联系 新浪微博
分类:web安全

如何通过滥用SSL TLS绕过Web应用程序防火墙

‍ ‍ 介绍
近些年来,Web安全已经逐渐变成了IT安全领域里非常重要的一个部分。Web应用的优势就在于开发人员可以在较短的时间内集成各种关键服务,而且维护难度也比传统的桌面端应... ‍ ‍

运营商互联网业务暴露面安全

‍ ‍ 对于一个士兵来说,最大的梦想就是能上战场真刀实枪的干上一战,同样对于一名安全人员来说,自己设计、建设的经过层层防护的系统,如果没有经历过一次攻击,不免有点索然无味。在众多... ‍ ‍

基于卷积神经网络的SQL注入检测

‍ ‍ *本文原创作者:fishyyh,本文属FreeBuf原创奖励计划,未经许可禁止转载
一、前言
本文结合自然语言处理技术,采用卷积神经网络算法训练SQL注入检测模型,主要包括文本处理、提取文本... ‍ ‍

九种姿势运行Mimikatz

‍ ‍ *本文原创作者:R1ngk3y,本文属FreeBuf原创奖励计划,未经许可禁止转载

前言
平时收集的一些姿势,用户绕过杀软执行mimikatz,这里以360为例进行bypass 测试。
下载最新版360:


未... ‍ ‍

Burpsuit结合SQLMapAPI产生的批量注入插件

‍ ‍ 前言
前辈们的功劳是无限大的。
PHP是世界上最好用的语言,没有之一。
出发点
一个网站是由多个开发人员协同工作完成的,他们遵循一定的命名规范(模块+动词+名称)等。在对一个网... ‍ ‍
  记某次从控件漏洞挖掘到成功利用

记某次从控件漏洞挖掘到成功利用

‍ ‍ 之前对某ActiveX控件进行漏洞挖掘的时候发现了一个栈溢出漏洞,最近一时兴起写下了这篇针对该漏洞的从挖掘到成功利用的分享文章。如题,本文将从漏洞挖掘和漏洞利用两个方面进... ‍ ‍
  WebLogic反序列化漏洞(CVE

WebLogic反序列化漏洞(CVE

‍ ‍ 漏洞简介
2018年4月18日,Oracle官方发布了4月份的安全补丁更新CPU(Critical Patch Update),更新中修复了一个高危的 WebLogic 反序列化漏洞CVE-2018-2628。攻击者可以在未授权的... ‍ ‍

安全科普:浅谈弱口令的危害

‍ ‍  * 作者:千里目安全实验室

故事要从一次艰难的渗透测试说起(以下案例均为授权测试),实践证明,要想进行一次完美的渗透,网站漏洞跟弱口令更配!


 * 作者:千里目安全实验室,本文属F... ‍ ‍
  基于JXWAF快速搭建钓鱼网站

基于JXWAF快速搭建钓鱼网站

‍ ‍ 一、前言
前段时间为了加强内部安全意识,需要进行钓鱼邮件演练,于是通过JXWAF快速搭建了一个钓鱼网站,发现效果不错,特此分享。
PS:本文仅用于技术讨论及分享,严禁用于非法用... ‍ ‍
  实现一个简单的Burp验证码本地识别插件

实现一个简单的Burp验证码本地识别插件

‍ ‍ * 本文作者:releasel0ck,本文属FreeBuf原创奖励计划,未经许可禁止转载
0X00:前言
为什么要写一个这个东西呢?虽然现在好多大网站都不用图片验证码了,但是仍然有一部分陈旧的web系... ‍ ‍
  ESP技巧:教你如何解包可执行文件

ESP技巧:教你如何解包可执行文件

‍ ‍ 恶意软件开发者会使用各种方法绕过反病毒产品,他们可以对字符串进行混淆处理,或者使用其他软件的证书来对恶意软件进行签名。其中最常用的一种方法就是利用封装器来对恶意软... ‍ ‍
  浅析加密DNS(附子域名爆破工具)

浅析加密DNS(附子域名爆破工具)

‍ ‍ 本文章简单介绍一下两种加密DNS协议:DNS over HTTPS 和 DNS over TLS。这两种协议主要为了解决DNS带来的隐私和中间人篡改问题。
0×01 DNS的安全及隐私
DNS设计之初并没有考... ‍ ‍
  Codiad在线IDE框架漏洞挖掘

Codiad在线IDE框架漏洞挖掘

‍ ‍ 简介 :
Codiad 是一个开源基于Web的IDE应用程序,用于在线编写和编辑代码。
仓库 :
https://github.com/Codiad/Codiad
环境搭建 :
通过phpstudy搭建基础,并开启Xdebug 。
可参... ‍ ‍
  用零宽度字符水印揭露泄密者身份

用零宽度字符水印揭露泄密者身份

‍ ‍ 零宽度字符是隐藏不显示的,也是不可打印的,也就是说这种字符用大多数程序或编辑器是看不到的。最常见的是零宽度空格,它是Unicode字符空格,就像如果在两个字母间加一个零宽度空... ‍ ‍
  未获取权限下的任意文件读取

未获取权限下的任意文件读取

‍ ‍ *本文作者:freebuf01,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
0×01概述:
在项目实施过程中,任意文件读取漏洞虽说不多,但也能不定期的发现一个。于是在这把自己了解的,做... ‍ ‍
  ThinkPHP 框架SQL注入技术分析

ThinkPHP 框架SQL注入技术分析

‍ ‍ 4月12号,ThinkPHP官方团队发布“ThinkPHP5.0.17&5.1.9版本发布——包含安全更新”通知,提醒用户第一时间更 新框架版本,在这次更新中,包含了由360企业安全集团代码卫士团队报送... ‍ ‍
  内存取证:查找Metasploit的Meterpreter踪迹

内存取证:查找Metasploit的Meterpreter踪迹

‍ ‍ Metasploit是一个非常受欢迎的渗透测试框架,被视为安全测试人员手中的一把利器。但在另一方面由于他过于强大,因此也常常被一些恶意攻击者所利用。当然,在本文我们主要讨论的是... ‍ ‍
  谨防隐私泄露,一个链接就能了解你的一切

谨防隐私泄露,一个链接就能了解你的一切

‍ ‍ * 本文作者:CarlStar,本文属FreeBuf原创奖励计划,未经许可禁止转载
0×00 前言
某日表哥丢过来一个链接,说可以查到手机号或者邮箱号下面注册过的账号,于是有了下面的分析。由于... ‍ ‍

记一次渗透测试过程中的Zabbix命令执行利用

‍ ‍ Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。管理员在安装配置Zabbix过程中,使用了弱口令或默认的用户名与口令(Admin/zabbix),这样,Z... ‍ ‍