Web安全

jsonp的一些安全问题

更新日期:2019/10/17 黑客书籍

声明:本文 【jsonp的一些安全问题】 由作者 p1k**** 于 2019-10-17 09:33:49 首发 先知社区 曾经 浏览数 70 次 感谢 p1k**** 的辛苦付出! 谈起jsonp 就不得不提同源策略 同源策略 主机 端口 域名 必须都一样 也就是说 www.p1k.com 和他同源的只有www.p1k.com json与jsonp 区别 json是一种基于文本的轻量级的数据...

旭达网络

红日安全Web安全Day8 - XXE实战攻防

更新日期:2019/10/15 黑客书籍

声明:本文 【红日安全Web安全Day8 - XXE实战攻防】 由作者 红日安全 于 2019-10-12 09:21:24 首发 先知社区 曾经 浏览数 4527 次 感谢 红日安全 的辛苦付出! 本文由红日安全成员: ruanruan 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起...

旭达网络

Java下奇怪的命令执行

更新日期:2019/10/15 黑客书籍

声明:本文 【Java下奇怪的命令执行】 由作者 l1nk3r 于 2019-10-13 10:52:11 首发 先知社区 曾经 浏览数 2947 次 感谢 l1nk3r 的辛苦付出! 0x01 前言 首先Java下的命令执行大家都知道常见的两种方式: 1.使用ProcessBuilder ProcessBuilder pb=new ProcessBuilder(cmd); pb.start()...

旭达网络

一句话木马踩坑记

更新日期:2019/10/15 黑客书籍

声明:本文 【一句话木马踩坑记】 由作者 fz41 于 2019-10-15 09:17:29 首发 先知社区 曾经 浏览数 586 次 感谢 fz41 的辛苦付出! 前言 我太菜了,今天有学弟拿着一个一句话过来找我,说链接不上 <?php $a="eval"; $a(@$_POST['a']); ?> 最开始以为是版本的问题 然后开始踩坑了 测试 我自己用带毒的phpstudy测试...

旭达网络

因ID字段可控、ID字段自增长导致的安全问题

更新日期:2019/10/15 黑客书籍

声明:本文 【因ID字段可控、ID字段自增长导致的安全问题】 由作者 Alive 于 2019-10-15 09:18:52 首发 先知社区 曾经 浏览数 593 次 感谢 Alive 的辛苦付出! 今天做测试的时候遇到一个添加收获地址的时候发现收货地址的ID参数是可控的。一般叫ID参数的都为自增长的主键。 然后我就把ID参数值设置的特别大。返回结果也提示新增地址成功。(原图丢失了,下图以自己的...

旭达网络

红日安全Web安全Day7 - 越权/非授权访问实战攻防

更新日期:2019/10/07 黑客书籍

声明:本文 【红日安全Web安全Day7 - 越权/非授权访问实战攻防】 由作者 红日安全 于 2019-10-07 10:41:00 首发 先知社区 曾经 浏览数 154 次 感谢 红日安全 的辛苦付出! 本文由红日安全成员: misakikata 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们...

旭达网络

PHP反序列化进阶学习与总结

更新日期:2019/10/06 黑客书籍

声明:本文 【PHP反序列化进阶学习与总结】 由作者 Threezh1 于 2019-10-03 10:14:06 首发 先知社区 曾经 浏览数 3475 次 感谢 Threezh1 的辛苦付出! 说在前面 对于PHP反序列化,原来也就只是浅尝而止。最近看到很多题的出现了多种没有了解过的反序列化形式,就此进一步学习一下。其中很多内容都参考了师傅们的博客,部分内容经过自己的修改。如果存在错误,还望...

旭达网络

Webmin远程命令执行漏洞(CVE-2019-15107)搭建及多种利用姿势-保姆级教程

更新日期:2019/10/06 黑客书籍

声明:本文 【Webmin远程命令执行漏洞(CVE-2019-15107)搭建及多种利用姿势-保姆级教程】 由作者 小菜鸟吃菜 于 2019-10-05 11:01:14 首发 先知社区 曾经 浏览数 1603 次 感谢 小菜鸟吃菜 的辛苦付出! Webmin远程命令执行漏洞/CVE-2019-15107漏洞分析及poc网上都有很多了,先知论坛也有。可能网上有些文章有些细节没说清楚,给我等复现造...

旭达网络

One XSS cheatsheet to rule them all

更新日期:2019/10/02 黑客书籍

声明:本文 【One XSS cheatsheet to rule them all】 由作者 惊鸿一瞥最是珍贵 于 2019-10-02 09:50:54 首发 先知社区 曾经 浏览数 16 次 感谢 惊鸿一瞥最是珍贵 的辛苦付出! 原文来自:https://portswigger.net/research/one-xss-cheatsheet-to-rule-them-all PortSwi...

Awesome-WAF readme - 绕过waf 手法指南

更新日期:2019/09/29 黑客书籍

声明:本文 【Awesome-WAF readme - 绕过waf 手法指南】 由作者 jax777 于 2019-09-29 09:18:00 首发 先知社区 曾经 浏览数 73 次 感谢 jax777 的辛苦付出! 翻译文 https://github.com/0xInfection/Awesome-WAF fuzz/爆破 字典 Seclists/Fuzzing. Fuzz-DB/Att...

旭达网络

Xss Bypass dog

更新日期:2019/09/29 黑客书籍

声明:本文 【Xss Bypass dog】 由作者 抹布 于 2019-09-29 09:20:20 首发 先知社区 曾经 浏览数 87 次 感谢 抹布 的辛苦付出! 前言 之前写过类型的水文,感觉写的一般。重新再苟了一遍。 Fuzz 简单粗暴的Fuzz,是我的首选,可以从Github,推特以及一些xss_payload分享网站,收集到足够的xss_payload进行Fuzz测试。 首先我...

红日安全Web安全Day6 - 业务逻辑漏洞实战攻防

更新日期:2019/09/26 黑客书籍

声明:本文 【红日安全Web安全Day6 - 业务逻辑漏洞实战攻防】 由作者 红日安全 于 2019-09-26 09:26:00 首发 先知社区 曾经 浏览数 84 次 感谢 红日安全 的辛苦付出! 本文由红日安全成员: Orion 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一...