关注我们
QRcode 邮件联系 新浪微博
分类:web安全
  DELPHI黑客编程(一):正向后门原理实现

DELPHI黑客编程(一):正向后门原理实现

‍ ‍ *本文原创作者:5ecurity,本文属FreeBuf原创奖励计划,未经许可禁止转载
PS:本文仅作为技术讨论分享,严禁用于任何非法用途。
前言
在渗透测试中经常用到远控、后门等辅助后渗透权... ‍ ‍
  看我如何利用PowerBroker来防止横向渗透

看我如何利用PowerBroker来防止横向渗透

‍ ‍ 毫无疑问,任何一个组织或公司都有可能受到网络攻击。攻击者可能已经盯上你很久了,并策划对你的组织发动一场有针对性的攻击,或者说他们也有可能通过社工技术或网络钓鱼攻击来... ‍ ‍

另一种绕过限制下载论文的思路

‍ ‍ *本文作者:过客匆匆打酱油,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

看到首页上一种绕过限制下载论文的思路的文章,刚好笔者前几天给小学妹做了一个下载器,也凑热闹来讨... ‍ ‍
  PHP弱类型引发的漏洞实例

PHP弱类型引发的漏洞实例

‍ ‍ *本文作者:补丁君,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

我们知道PHP 是一门弱类型语言,不必向 PHP 声明该变量的数据类型,PHP 会根据变量的值,自动把变量的值转换为... ‍ ‍
  $_SERVER[SCRIPT_NAME]变量可值注入恶意代码

$_SERVER[SCRIPT_NAME]变量可值注入恶意代码

‍ ‍ $_SERVER['SCRIPT_NAME']变量在路由传参时,可引入恶意代码,从而导致xss以及恶意代码注入。
PS:本文仅做技术讨论与分享,严禁用于任何非法用途。
$_SERVER['SCRIPT_NAME']变... ‍ ‍
  勒索病毒“GPGQwerty”的分析与复现

勒索病毒“GPGQwerty”的分析与复现

‍ ‍ *本文作者:LiukerTeam,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。

3月初,勒索软件“GPGQwerty”是由 @MalwareHunterTeam 发现,它利用了合法的软件 GnuPG 来加密受害者... ‍ ‍
  如何利用暴力破解攻击打进“敌人”内部

如何利用暴力破解攻击打进“敌人”内部

‍ ‍ 写在前面的话
在很多现实的攻击案例中,大多数攻击者都是通过暴力破解的方式来入侵目标系统的,此时攻击者主要利用的是弱密码以及密码管理方面的安全问题。Web应用和Web服务... ‍ ‍
  一种绕过限制下载论文的思路

一种绕过限制下载论文的思路

‍ ‍ * 本文作者:tammypi,本文属FreeBuf原创奖励计划,未经许可禁止转载
注:本文下面的内容仅讨论绕过思路,作为技术交流之用。大家下载论文还是应该通过正规渠道,付费下载,尊重各位站长... ‍ ‍

QtWebKit爬虫与去重规则

‍ ‍ *本文作者:DX安全团队—-0d9y,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。  
一个漏扫程序想要检测更多的漏洞,那么他配备的爬虫一定得给力,能够爬取很多其他爬虫爬不到的... ‍ ‍
  看我如何利用Webhook绕过支付请求

看我如何利用Webhook绕过支付请求

‍ ‍ 写在前面的话
在深入了解漏洞奖励计划中的安全漏洞时,我们往往需要寻找一些用户不可见的功能下手。支付Webhook就是一种典型例子,像Stripe或Braintree这样的支付服务提供商... ‍ ‍
  那些年绕过的反爬手段

那些年绕过的反爬手段

‍ ‍ *本文原创作者:manwu91,本文属FreeBuf原创奖励计划,未经许可禁止转载

笔者第一份工作就是以java工程师的名义写爬虫,不得不说第一份工作很重要啊,现在除了爬虫不会干别的,到现在... ‍ ‍
  实例讲解False盲注基础原理

实例讲解False盲注基础原理

‍ ‍ 0×01 前言
false盲注有些时候可以绕过一些WAF,也是容易被忽视的细节。本文的目的在于通过做CTF的同时来学习注入原理,同时也运用到自身的能力。这里只是简单说一些我自己的理... ‍ ‍
  在Go中使用反向代理进行网络钓鱼测试

在Go中使用反向代理进行网络钓鱼测试

‍ ‍ 免责声明:本文仅用于教育目的。切勿使用文中提及的技术从事任何非法活动!
对于一个攻击者来说,要想实施一次网络钓鱼攻击,往往需要做大量的准备工作。例如搭建钓鱼站点,引诱受... ‍ ‍
  关于SQL注入漏洞的4个误解

关于SQL注入漏洞的4个误解

‍ ‍ 预告:如果你对SQL注入方面的攻击与防御技术感兴趣。那么,欢迎你参加我们在3月16号星期五早上九点举办的,免费在线GroupBy会议。

SQL注入已是一个老生常谈的话题,但时至今日... ‍ ‍

Solveme.peng.kr平台Web题解

‍ ‍ 前言
最近发现了一个Web练习平台:http://solveme.peng.kr/chall里面所有的Web都是源码审计,感觉网上相关题解很少,于是抽空做了一下,写了一篇文章,欢迎大家和我多多交流!

warmup... ‍ ‍
  挖洞经验 | 看我如何在Jive

挖洞经验 | 看我如何在Jive

‍ ‍

写在前面的话
很多渗透测试人员会对各种各样不同的服务以及应用程序进行安全测试,但他们往往会忽略自己的产品和服务。在这种情况下,他们就可能成为攻击者的首要目标,毕... ‍ ‍
  CTF实战:USV

CTF实战:USV

‍ ‍ 前记
最近在某平台上down了一个CTF靶机玩玩,感觉还挺有意思的,故写出我的解题思路。
根据官方给的信息本靶机一共有5个flag,分别为:Croatia, France, Italy, Laos, Phillipp... ‍ ‍
  爬虫代理搭建与批量安装

爬虫代理搭建与批量安装

‍ ‍ 代理对于搞爬虫的都不会陌生。公司有一批阿里云服务器用于分布式增量抓取,但对于一些封ip且只需进行一次全量抓取的数据源,或数据量级较小时,如果部署到爬虫集群上又太费事不值... ‍ ‍
  谷歌为G

谷歌为G

‍ ‍ Google 为 G Suite 服务推出了全新安全功能,包括企业云计算,生产力和协作工具。
现在企业用户可以使用 Gmail 来绑定企业自定义域名,并进行商务和企业内部的邮件联络。
而G Sui... ‍ ‍
  使用SQLMap进行Access注入

使用SQLMap进行Access注入

‍ ‍ *本文原创作者:simeon,本文属FreeBuf原创奖励计划,未经许可禁止转载
1.1使用sqlmap进行access注入
对于存在access注入的站点,可以通过手工注入或者工具注入来获取access数据库... ‍ ‍