实际测试中,发现account参数存在拼接注入如下经过一番操作知道了数据库中共八个字段,分别是uid ,account ,password,safe_password,telphone,usernam...
安全文章
安全文章
安全文章
漏洞挖掘 | 记一次越权登录
http://xxxxx/index.html?userNo=xxxx可以直接登录学生用户(女朋友给的)fofa收集了一波4个站点。。。,由于没扫到备份,只能黑盒测了然后发现一处接口 杂七杂八测试了下...
安全文章
一次服务器被黑的全过程排查和思考
前一阵子腾讯云搞活动,哈C我买了个轻量级的服务器,部署了自己的网站。一切都井然有条的进行中。直到某天清晨,我一如既往的打开我的网站,发现网站竟然打不开了。于是我进行了一系列的排查。1、排查日志第一时间...
安全文章
某大学多站联动获取webshell
作者:Azjj98,文章来源:https://blog.csdn.net/weixin_445783340x00前言前面大体概括一下获取webshell的一个思路,此服务器存在三个系统,利用第一个系统...
安全文章
记一次对某钓鱼网站的渗透
文章作者:ink文章来源:网友投稿1、这钓鱼网站长这样,如此捡漏竟然那么多人上当 2、首先我们来想一想,这种钓鱼网站,来盗取你的账号密码时,如果要登录的话,它会要记录你的ip地址,不然他登录...
安全文章
记一次Xss打到BC站后台
起因大家好,我是Mason,是一个每天坚持在各种大佬之间摸鱼的硬核咸鱼一个无聊的夜晚,正打算做一些降低免疫力事情的我被拉入了一个QQ群聊,我踏马当时就傻了。 我尼玛这是啥玩意?对此表示奇怪的...
安全闲碎
SSH 只能用于远程 Linux 主机?那说明你见识太小了!
来自公众号:360云计算作者:360云计算女主宣言分享一篇关于SSH 的介绍和使用方法的文章。本文从SSH是什么出发,讲述了SSH的基本用法,之后在远程登录、端口转发等多种场景下进行独立的讲...
安全文章
Web登录安全隐患分析
这篇贴主要是分析了支付宝、亚马逊等登陆设计。指出登陆信息被截获并且用于重放攻击可能性,指出登陆设计存在改进空间。附近中是POC(Proof of Concept)程序,在浏览器内部抓取POST登陆信息...
安全博客
兄弟,别再爬妹子图了整点JS逆向吧–陆金所密码加密破解
好久没有写爬虫文章了,今晚上得空看了一下陆金所登录密码加密,这个网站js加密代码不难,适合练手,篇幅有限,完整js代码我放在了这里从今天开始种树,不废话,直接开整。
安全博客
每日JS逆向练习之斗鱼登录密码加密,今天你逆了吗?
一切的基本功都是为后期调试滑块验证码准备的。 今天来看看斗鱼登录密码加密,正所谓熟能生巧,这种简单一点的基本3-5分钟就要能抠出来,有兴趣得还是自己抠一下JS代码,如抠不准确可参考...
安全博客
网易游戏登录密码加密破解小试
最近实在太忙,更新速度也慢了,今天得空网上冲浪一会,心血来潮打开了童年游戏大话西游官网,本想看看有什么变化,发个帖抱怨一下为啥还不开怀旧服,就在登录之际又忍不住按下了F12,跟我想...
安全文章
【干货】业务安全测试关键点
业务安全测试关键点技术篇01.登录认证模块测试暴力破解测试(暴力破解漏洞)1.增加图形验证码,图形验证码采用服务器端校验,登录失败一次,验证码变换一次。2.配置登录失败次数限制策略,如在同一用户尝试...
